第九章 网络管理与网络安全技术要点
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2018/10/4 15
第九章 网络管理与网络安全技术 通信安全问题概述 两个用户在计算机网络上通信所面临的威胁 截获:第三方偷听通信双方的内容 中断:第三方中断通信双方的通信 篡改:丙篡改甲发送给乙的报文 伪造:丙假装为甲,与乙通信
2018/10/4
16
第九章 网络管理与网络安全技术 网络通信中的威胁
SNMPv2:1996
增加get-build-request命令,一次读取多行; 分散化的管理方法,一个网络中多个管理服务器,并 有中间代理进程。 安全性设计过分复杂
SNMPv3:
安全性的改进:具有三种安全功能:鉴别、保密和存 取控制 2018/10/4
7
第九章 CMIP (1) 网络管理与网络安全技术
2018/10/4
管理进程和代理进 程
管理进程和代理进 程
8
第九章 Cபைடு நூலகம்IP (2) 网络管理与网络安全技术
特性 SNMPv1 CMIP
被管对象的形式
管理进程与代理进 程的交互
MIB树中的简单变量
轮询和不常用的trap
MIB中定义的有继承性的对 象
事件驱动
安全
管理进程之间的交 换信息 数据块传送
无
2018/10/4
10
第九章 网络管理与网络安全技术 物理安全
9.2 网络安全
物理安全是保护计算机网络设备、设施以及其它媒体免 遭地震、水灾、火灾等环境事故以及人为操作失误或错 误及各种计算机犯罪行为导致的破坏过程。 – 环境安全
对系统所在环境的安全保护,如区域保护和灾难保护; 设备安全主要包括设备的防盗、防毁、抗电磁干扰及电源 保护等;采用设备冗余备份,并通过严格管理及提高员工 的整体安全意识来实现。 局域网传输线路传导辐射的抑制 对终端设备辐射的防范
服务提供
– 向用户提供新业务和通过增加网络设备和设施来提 高网络性能 2018/10/4
1
第九章 网络管理与网络安全技术 网络系统管理五个功能域
故障管理
– 对网络中被管对象故障的检测、定位和排除
配置管理
– 用来定义、识别、初始化、监控网络中的被管对象,改变 被管对象的操作特性,报告被管对象状态变化
11
– 设备安全
– 媒体安全——防止系统信息在空间的扩散。
2018/10/4
第九章 网络管理与网络安全技术 系统安全
操作系统安全
– 安全性较高的网络操作系统并进行必要的安全配置、 关闭一些不常用却存在安全隐患的应用、对一些保 存有用户信息及其口令的关键文件
路由以及DNS安全
– 对路由器进行安全配置,并关闭不用的端口,对其 执行严格的访问控制;对DNS软件应尽快升级到最 新;以防止通过路由和DNS攻击实现的拒绝服务。
通信安全
采用加密来保证传输过程中的保密性和安全性
入侵检测 漏洞扫描系统
2018/10/4 13
第九章 网络管理与网络安全技术 应用安全 l 资源共享中的访问控制和安全审计
– 对用户的访问控制进行安全设置 – 对用户在该系统上的应用进行安全审计
l 信息存储与安全备份
– 对有涉及秘密信息的主机,使用者在应用过 程中应该做到尽量少开放一些不常用的网络 服务。 – 对重要数据必须做安全备份
用途 用来查询一个或多个变量的值 允许在一个MIB树上检索下一个变量 对get/set报文做出响应,并提供差错码、 差错状态等信息 对一个或多个变量得值进行设置
6
向管理进程报告代理中发生的事件
第九章 网络管理与网络安全技术 SNMPv2 V3
SNMPv1: 1988
优点:简单,广泛的使用 缺点:不能有效传送大块数据,不能将网络管理的功 能分散化,安全性不够好。
2018/10/4
3
第九章 网络管理与网络安全技术
简单网络管理协议SNMP典型配置
管理站 网络管 理员 管理进程 SNMP UDP IP 网络接口 主机
MIB
代理进程 SNMP UDP
用户进程
FTP等 TCP
IP
网络接口
代理进程
主 机
用户进程
SNMP UDP IP
FTP等 TCP
Internet
网络接口
2018/10/4
代理进程 SNMP UDP IP 网络接口
路 由 器
4
第九章 网络管理与网络安全技术 网络管理中术语
网络元素(network element )
– 网络中具体的通信设备或逻辑实体,又称网元
被管元素(managed object)
– 指可使用管理协议进行管理和控制的网络资源的抽象表示
置换密码
– – – – 按照某一规则重新排列消息中得比特或字符的顺序 密钥:CIPHER 顺序:145326 明文 attack
begins at two
2018/10/4 abaaitcnwtg tetkso 密文: 21
第九章 网络管理与网络安全技术 数据加密标准DES
属于常规密钥密码体制 IBM公司研制出,1977年被美国定为联邦信息 标准 DES是一种分组密码。
无 无
有
有 有
创建/删除被管对象
每个管理站可管理 的被管对象数目 通信模型 制订标准的机构 2018/10/4
无
少 数据报 Internet
有
多 基于会话 ISO
9
第九章 网络管理与网络安全技术 TMN
电信管理网(TMN)是ITU-T为了对电信网进 行统一管理在1988年提出,1992年形成的网络 管理标准,还在不断完善中 TMN采用面向对象技术,定义了两种类型的电 信资源:一种是管理系统,(运行系统OS)另 一种是被管系统,一般称为网络元素NE TMN标准定义了资源之间的各种互连关系,称 之为接口,如OS-NE接口
第九章 网络管理与网络安全技术 计算机网络通信安全的五个目标
防止析出报文内容 防止信息量分析 检测更改报文流 检测拒绝报文服务 检测伪造初始化连接
2018/10/4
18
第九章 网络管理与网络安全技术 计算机网络通信安全的内容
保密性
– 为用户提供安全可靠的保密通信 – 密码机制是其他安全机制的基础
第九章 网络管理与网络安全技术 9.1 网络管理基本概念
网络管理是遵守开放的网络系统的体系结构,并能够对 不同厂商的软硬件产品进行管理。
运行管理
– 网络的计费和通信量管理
处理管理
– 收集和分析设备利用率、通信量等数据,直到做出 相应的控制,以优化网络资源的使用效率等各方面
维护管理
– 报警和性能监控、测试和故障修复等
使用不同的加密密钥与解密密钥,是一种由已 知加密密钥推导解密密钥在计算上不可行的密 码体制。 加密密钥(公开密钥Pk)是公开信息,而解密 密钥Sk(即秘密密钥)是需要保密的。加密算 法和解密算法也都是公开的。 特点如下:
– 发送者用加密密钥Pk对明文X加密后,在接受者用 解秘密钥Sk解密,即可恢复出明文: Dsk(Epk(x))=X – 加密和解密的运算可以对调:即Epk(Dsk(X))=X
2018/10/4 25
24
第九章 网络管理与网络安全技术 数字签名
解决问题:
– 保证接收者能够核实发送者对报文的签名; – 保证发送者事后不能抵赖对报文的签名; – 保证接收者不能伪造对报文的签名;
过程:
– 发送者A用Ska对报文进行运算,将结果Dska(X)传 送给接收者B,B用已知的公开密钥得出 Epka(Dska(X))=X – A要抵赖曾发送报文给B,则B出示X,Dska(X)给第三 者。第三者可以用Pka来证实A确实发送该报文给B – B将X伪造为X’,则B不能在第三者前出示Dska(X’)
被动攻击
– 攻击者只是观察通过的PDU而不干扰信息流
主动攻击
– 对某个连接中通过的PDU进行各种处理,如有选择 的更改、删除、延迟、记录和复制这些PDU,在稍 后的时间将以前录下的PDU插入这个连接,甚至可 以合成或伪造PDU送入到连接中。 – 更改报文流 – 拒绝报文服务 – 伪造连接初始化
2018/10/4 17
2018/10/4 20
第九章 网络管理与网络安全技术 常规密钥密码体制(1)
加密密钥与解密密钥是相同的密码体制 替代密码
– 将字母a,b,c,d,……,w,x,y,z的自然顺序保持不变,但使 之与D,E,F,G, ……,X,A,B,C分别对应: – 明文:caesar cipher,密文 FDHVDU FLSKHU
应用系统安全
– 应用服务器尽量不要开放一些没有经常用的协议及 协议端口号
病毒防护
2018/10/4 12
第九章 网络管理与网络安全技术 网络安全
网络结构安全
– 网络结构的安全主要指:网络拓扑结构是否合理、 线路是否有冗余、路由是否冗余、防止单点失败等。
隔离与访问控制
– 划分虚拟子网(VLAN) – 配备防火墙
安全协议的设计
– 用形式化方法证明 – 用经验来分析协议的安全性
存取控制
– 访问控制,对接入网络的权限加以控制,并 规定每个用户的介入权限。
2018/10/4 19
第九章 网络管理与网络安全技术 数据保密基本概念
加密算法E,解密算法D,加密密钥K(假定加密解密密 钥一样),明文X,密文Y Y=Ek(X) Dk(Y)=Dk(Ek(X))=X 密码编码学是密码体制的设计学,而密码分析学则 是在未知密码的情况下从密文推演出明文或密钥的 技术。密码编码学与密码分析学合起来即为密码学。 理论上不可破密码:不论截取者获得了多少密文, 但在密文中都没有足够的信息来唯一确定出明文。 计算上不可破密码:不能被可以使用的计算资源破 译。
– 加密前,先对整个的明文进行分组,每一个组长64 位 – 使用密钥64位(实际56位,8位用于奇偶校验) – 对每一个64位分组进行加密处理,产生一组64位密 文数据 – 将各组密文串接起来,得出整个的密文
DES的保密性取决于对密钥的保密,而算法是公 开的。
2018/10/4 22
第九章 网络管理与网络安全技术 公开密钥密码体制(1)
SNMP的操作只有两种基本的管理功能
– “读”操作,用get报文来监测各被管对象的状 况; – “写”操作,用set报文来监测各被管对象的状 况;
PDU编号 0 1 2 3 4
2018/10/4
PDU名称 Get-request Get-nextrequest Get-response Set-request Trap
由于SNMP管理功能不够强,ISO在20世纪80 年代提出CMIP(公共管理信息协议) 五个管理功能域,11种类型的PDU(协议数据 单元)变量具有复杂的数据结构 SNMPv1与CMIP的比较
特性 已安装的数量 每个管理站可管 理的被管对象数 目 SNMPv1 很大 少 CMIP 小 多
管理模型
2018/10/4
14
第九章 网络管理与网络安全技术 安全其它方面
灾难恢复 – 物理设施备份 – 数据备份 – 网站恢复 动态维护 – 1、物理安全的检测 – 2、防火墙配置与优化 – 3、路由器配置的检测 – 4、入侵检测系统的升级, – 5、防病毒软件升级 – 6、操作系统修补、加固和优化 – 7、应用软件安全评估 – 8、灾难恢复系统的检测 安全管理
管理信息库MIB(Management Information Base)
– 由一个系统内的许多被管对象及其属性组成,虚拟数据库
代理进程
– 在被管系统中直接管理被管对象的进程,服务进程
管理进程
– 利用通信手段,通过代理来管理各被管对象,客户进程
2018/10/4 5
第九章 网络管理与网络安全技术 SNMP五种协议数据单元
计费管理
– 记录用户使用网络资源的情况并核收费用,统计网络利用 率
性能管理
– 保证在使用最少网络资源和最小时延前提下,网络提供可 靠连续通行能力
安全管理
2018/10/4 – 网络不被非法使用 2
第九章 网络管理与网络安全技术 网络管理的实现
网络管理员通过网络管理软件来监视和 控制网络的各个组成部分。 如:通过查询主机、路由器、交换机等 设备的状态来获取网络的有关统计资料, 通过重新配置路由、网络接口等来控制 网络运行和改善网络性能。
2018/10/4 23
第九章 网络管理与网络安全技术 公开密钥密码体制(2)
加密密钥是公开的,但不能用它来解密,即 Dpk(Epk(X))=X 在计算机上可以容易的产生成对的Pk和Sk 从已知的Pk实际上不可能推导出Sk,即从Pk 到Sk是计算上不可能的。 加密和解密算法都是公开的。
2018/10/4
第九章 网络管理与网络安全技术 通信安全问题概述 两个用户在计算机网络上通信所面临的威胁 截获:第三方偷听通信双方的内容 中断:第三方中断通信双方的通信 篡改:丙篡改甲发送给乙的报文 伪造:丙假装为甲,与乙通信
2018/10/4
16
第九章 网络管理与网络安全技术 网络通信中的威胁
SNMPv2:1996
增加get-build-request命令,一次读取多行; 分散化的管理方法,一个网络中多个管理服务器,并 有中间代理进程。 安全性设计过分复杂
SNMPv3:
安全性的改进:具有三种安全功能:鉴别、保密和存 取控制 2018/10/4
7
第九章 CMIP (1) 网络管理与网络安全技术
2018/10/4
管理进程和代理进 程
管理进程和代理进 程
8
第九章 Cபைடு நூலகம்IP (2) 网络管理与网络安全技术
特性 SNMPv1 CMIP
被管对象的形式
管理进程与代理进 程的交互
MIB树中的简单变量
轮询和不常用的trap
MIB中定义的有继承性的对 象
事件驱动
安全
管理进程之间的交 换信息 数据块传送
无
2018/10/4
10
第九章 网络管理与网络安全技术 物理安全
9.2 网络安全
物理安全是保护计算机网络设备、设施以及其它媒体免 遭地震、水灾、火灾等环境事故以及人为操作失误或错 误及各种计算机犯罪行为导致的破坏过程。 – 环境安全
对系统所在环境的安全保护,如区域保护和灾难保护; 设备安全主要包括设备的防盗、防毁、抗电磁干扰及电源 保护等;采用设备冗余备份,并通过严格管理及提高员工 的整体安全意识来实现。 局域网传输线路传导辐射的抑制 对终端设备辐射的防范
服务提供
– 向用户提供新业务和通过增加网络设备和设施来提 高网络性能 2018/10/4
1
第九章 网络管理与网络安全技术 网络系统管理五个功能域
故障管理
– 对网络中被管对象故障的检测、定位和排除
配置管理
– 用来定义、识别、初始化、监控网络中的被管对象,改变 被管对象的操作特性,报告被管对象状态变化
11
– 设备安全
– 媒体安全——防止系统信息在空间的扩散。
2018/10/4
第九章 网络管理与网络安全技术 系统安全
操作系统安全
– 安全性较高的网络操作系统并进行必要的安全配置、 关闭一些不常用却存在安全隐患的应用、对一些保 存有用户信息及其口令的关键文件
路由以及DNS安全
– 对路由器进行安全配置,并关闭不用的端口,对其 执行严格的访问控制;对DNS软件应尽快升级到最 新;以防止通过路由和DNS攻击实现的拒绝服务。
通信安全
采用加密来保证传输过程中的保密性和安全性
入侵检测 漏洞扫描系统
2018/10/4 13
第九章 网络管理与网络安全技术 应用安全 l 资源共享中的访问控制和安全审计
– 对用户的访问控制进行安全设置 – 对用户在该系统上的应用进行安全审计
l 信息存储与安全备份
– 对有涉及秘密信息的主机,使用者在应用过 程中应该做到尽量少开放一些不常用的网络 服务。 – 对重要数据必须做安全备份
用途 用来查询一个或多个变量的值 允许在一个MIB树上检索下一个变量 对get/set报文做出响应,并提供差错码、 差错状态等信息 对一个或多个变量得值进行设置
6
向管理进程报告代理中发生的事件
第九章 网络管理与网络安全技术 SNMPv2 V3
SNMPv1: 1988
优点:简单,广泛的使用 缺点:不能有效传送大块数据,不能将网络管理的功 能分散化,安全性不够好。
2018/10/4
3
第九章 网络管理与网络安全技术
简单网络管理协议SNMP典型配置
管理站 网络管 理员 管理进程 SNMP UDP IP 网络接口 主机
MIB
代理进程 SNMP UDP
用户进程
FTP等 TCP
IP
网络接口
代理进程
主 机
用户进程
SNMP UDP IP
FTP等 TCP
Internet
网络接口
2018/10/4
代理进程 SNMP UDP IP 网络接口
路 由 器
4
第九章 网络管理与网络安全技术 网络管理中术语
网络元素(network element )
– 网络中具体的通信设备或逻辑实体,又称网元
被管元素(managed object)
– 指可使用管理协议进行管理和控制的网络资源的抽象表示
置换密码
– – – – 按照某一规则重新排列消息中得比特或字符的顺序 密钥:CIPHER 顺序:145326 明文 attack
begins at two
2018/10/4 abaaitcnwtg tetkso 密文: 21
第九章 网络管理与网络安全技术 数据加密标准DES
属于常规密钥密码体制 IBM公司研制出,1977年被美国定为联邦信息 标准 DES是一种分组密码。
无 无
有
有 有
创建/删除被管对象
每个管理站可管理 的被管对象数目 通信模型 制订标准的机构 2018/10/4
无
少 数据报 Internet
有
多 基于会话 ISO
9
第九章 网络管理与网络安全技术 TMN
电信管理网(TMN)是ITU-T为了对电信网进 行统一管理在1988年提出,1992年形成的网络 管理标准,还在不断完善中 TMN采用面向对象技术,定义了两种类型的电 信资源:一种是管理系统,(运行系统OS)另 一种是被管系统,一般称为网络元素NE TMN标准定义了资源之间的各种互连关系,称 之为接口,如OS-NE接口
第九章 网络管理与网络安全技术 计算机网络通信安全的五个目标
防止析出报文内容 防止信息量分析 检测更改报文流 检测拒绝报文服务 检测伪造初始化连接
2018/10/4
18
第九章 网络管理与网络安全技术 计算机网络通信安全的内容
保密性
– 为用户提供安全可靠的保密通信 – 密码机制是其他安全机制的基础
第九章 网络管理与网络安全技术 9.1 网络管理基本概念
网络管理是遵守开放的网络系统的体系结构,并能够对 不同厂商的软硬件产品进行管理。
运行管理
– 网络的计费和通信量管理
处理管理
– 收集和分析设备利用率、通信量等数据,直到做出 相应的控制,以优化网络资源的使用效率等各方面
维护管理
– 报警和性能监控、测试和故障修复等
使用不同的加密密钥与解密密钥,是一种由已 知加密密钥推导解密密钥在计算上不可行的密 码体制。 加密密钥(公开密钥Pk)是公开信息,而解密 密钥Sk(即秘密密钥)是需要保密的。加密算 法和解密算法也都是公开的。 特点如下:
– 发送者用加密密钥Pk对明文X加密后,在接受者用 解秘密钥Sk解密,即可恢复出明文: Dsk(Epk(x))=X – 加密和解密的运算可以对调:即Epk(Dsk(X))=X
2018/10/4 25
24
第九章 网络管理与网络安全技术 数字签名
解决问题:
– 保证接收者能够核实发送者对报文的签名; – 保证发送者事后不能抵赖对报文的签名; – 保证接收者不能伪造对报文的签名;
过程:
– 发送者A用Ska对报文进行运算,将结果Dska(X)传 送给接收者B,B用已知的公开密钥得出 Epka(Dska(X))=X – A要抵赖曾发送报文给B,则B出示X,Dska(X)给第三 者。第三者可以用Pka来证实A确实发送该报文给B – B将X伪造为X’,则B不能在第三者前出示Dska(X’)
被动攻击
– 攻击者只是观察通过的PDU而不干扰信息流
主动攻击
– 对某个连接中通过的PDU进行各种处理,如有选择 的更改、删除、延迟、记录和复制这些PDU,在稍 后的时间将以前录下的PDU插入这个连接,甚至可 以合成或伪造PDU送入到连接中。 – 更改报文流 – 拒绝报文服务 – 伪造连接初始化
2018/10/4 17
2018/10/4 20
第九章 网络管理与网络安全技术 常规密钥密码体制(1)
加密密钥与解密密钥是相同的密码体制 替代密码
– 将字母a,b,c,d,……,w,x,y,z的自然顺序保持不变,但使 之与D,E,F,G, ……,X,A,B,C分别对应: – 明文:caesar cipher,密文 FDHVDU FLSKHU
应用系统安全
– 应用服务器尽量不要开放一些没有经常用的协议及 协议端口号
病毒防护
2018/10/4 12
第九章 网络管理与网络安全技术 网络安全
网络结构安全
– 网络结构的安全主要指:网络拓扑结构是否合理、 线路是否有冗余、路由是否冗余、防止单点失败等。
隔离与访问控制
– 划分虚拟子网(VLAN) – 配备防火墙
安全协议的设计
– 用形式化方法证明 – 用经验来分析协议的安全性
存取控制
– 访问控制,对接入网络的权限加以控制,并 规定每个用户的介入权限。
2018/10/4 19
第九章 网络管理与网络安全技术 数据保密基本概念
加密算法E,解密算法D,加密密钥K(假定加密解密密 钥一样),明文X,密文Y Y=Ek(X) Dk(Y)=Dk(Ek(X))=X 密码编码学是密码体制的设计学,而密码分析学则 是在未知密码的情况下从密文推演出明文或密钥的 技术。密码编码学与密码分析学合起来即为密码学。 理论上不可破密码:不论截取者获得了多少密文, 但在密文中都没有足够的信息来唯一确定出明文。 计算上不可破密码:不能被可以使用的计算资源破 译。
– 加密前,先对整个的明文进行分组,每一个组长64 位 – 使用密钥64位(实际56位,8位用于奇偶校验) – 对每一个64位分组进行加密处理,产生一组64位密 文数据 – 将各组密文串接起来,得出整个的密文
DES的保密性取决于对密钥的保密,而算法是公 开的。
2018/10/4 22
第九章 网络管理与网络安全技术 公开密钥密码体制(1)
SNMP的操作只有两种基本的管理功能
– “读”操作,用get报文来监测各被管对象的状 况; – “写”操作,用set报文来监测各被管对象的状 况;
PDU编号 0 1 2 3 4
2018/10/4
PDU名称 Get-request Get-nextrequest Get-response Set-request Trap
由于SNMP管理功能不够强,ISO在20世纪80 年代提出CMIP(公共管理信息协议) 五个管理功能域,11种类型的PDU(协议数据 单元)变量具有复杂的数据结构 SNMPv1与CMIP的比较
特性 已安装的数量 每个管理站可管 理的被管对象数 目 SNMPv1 很大 少 CMIP 小 多
管理模型
2018/10/4
14
第九章 网络管理与网络安全技术 安全其它方面
灾难恢复 – 物理设施备份 – 数据备份 – 网站恢复 动态维护 – 1、物理安全的检测 – 2、防火墙配置与优化 – 3、路由器配置的检测 – 4、入侵检测系统的升级, – 5、防病毒软件升级 – 6、操作系统修补、加固和优化 – 7、应用软件安全评估 – 8、灾难恢复系统的检测 安全管理
管理信息库MIB(Management Information Base)
– 由一个系统内的许多被管对象及其属性组成,虚拟数据库
代理进程
– 在被管系统中直接管理被管对象的进程,服务进程
管理进程
– 利用通信手段,通过代理来管理各被管对象,客户进程
2018/10/4 5
第九章 网络管理与网络安全技术 SNMP五种协议数据单元
计费管理
– 记录用户使用网络资源的情况并核收费用,统计网络利用 率
性能管理
– 保证在使用最少网络资源和最小时延前提下,网络提供可 靠连续通行能力
安全管理
2018/10/4 – 网络不被非法使用 2
第九章 网络管理与网络安全技术 网络管理的实现
网络管理员通过网络管理软件来监视和 控制网络的各个组成部分。 如:通过查询主机、路由器、交换机等 设备的状态来获取网络的有关统计资料, 通过重新配置路由、网络接口等来控制 网络运行和改善网络性能。
2018/10/4 23
第九章 网络管理与网络安全技术 公开密钥密码体制(2)
加密密钥是公开的,但不能用它来解密,即 Dpk(Epk(X))=X 在计算机上可以容易的产生成对的Pk和Sk 从已知的Pk实际上不可能推导出Sk,即从Pk 到Sk是计算上不可能的。 加密和解密算法都是公开的。
2018/10/4