Download
1 / 155
1.61k likes | 1.84k Views
第 16 章. 網路管理與安全. 本章重點. 16-1 網路管理的範圍 16-2 網路管理常用的通訊協定 16-3 帳號與權限管理 16-4 資料加密與解密 16-5 數位簽章 16-6 公開金鑰基礎建設( PKI ) 16-7 防火牆 16-8 加強網路層的安全 – IPsec 16-9 資訊安全管理. 網路管理與安全.
E N D
第16章 網路管理與安全
本章重點 • 16-1 網路管理的範圍 • 16-2 網路管理常用的通訊協定 • 16-3 帳號與權限管理 • 16-4 資料加密與解密 • 16-5 數位簽章 • 16-6 公開金鑰基礎建設(PKI) • 16-7 防火牆 • 16-8 加強網路層的安全 – IPsec • 16-9 資訊安全管理
網路管理與安全 • 話說 1980 年代初期, 網路傳輸技術的發展開始引起世人的注目, 許多公司發現到使用網路傳輸技術可以降低硬體上的投資成本, 並帶來更高的生產力, 便一窩蜂地建置各種網路系統, 新的網路傳輸技術一問世馬上就有一大堆使用者搶著安裝。 • 直到 1980 年中期許多公司才開始發現到, 網路系統的過度擴張, 使得網路的管理與維護工作變得越來越棘手。
網路管理與安全 • 持續在網路建置上的投資不但沒有降低硬體上的總投資成本, 繁瑣的網路設定與維護反而還耗損了原有的生產力。尤其是內部擁有多種不同網路系統的公司, 不同網路系統的組態設定各不相同, 維護時簡直是惡夢一場。 • 也就是這樣人們才開始意識到, 網路管理 (簡稱網管) 應該有一套共通的準則與作法。
16-1 網路管理的範圍 • 16-1-1 網路管理架構 • 16-1-2 組態管理 (Configuration Management) • 16-1-3 故障管理 (Fault Management) • 16-1-4 效能管理 (Performance Management) • 16-1-5 安全管理 (Security Management) • 16-1-6 會計管理 (Accounting Management)
16-1-1 網路管理架構 • 那麼『網路管理』的範圍又包含那些項目呢?不同的網路設備廠商各有各的說法。 • 制定出OSI 模型的『國際標準組織』 ( ISO, International Standards Organization, ) 也不斷發表一系列網路管理相關的文件, 其中大家最常引用的則是1989 年所發表的 ISO 7498-4 號文件, 此文件將網路管理規劃成五個項目, 這五個網路管理項目, 也就成了大家最常探討的網管主題。
網路管理架構 • 組態管理 (Configuration Management) • 故障管理 (Fault Management) • 效能管理 (Performance Management) • 安全管理 (Security Management) • 會計管理 (Account ing Management) • 以下就這五個管理項目逐一說明。
16-1-2 組態管理 (Configuration Management) • 要使網路系統運作正常, 相關的軟硬體設備都得通力合作才成。除了實際的傳輸線路確實接妥外, 網路裝置 (例如:路由器、網路伺服器、網路印表機等) 的組態參數也得做相對應的設定才成。 • 甚至於個人電腦, 也得設定 IP 位址與子網路遮罩等參數。
組態管理 (Configuration Management) • 當然, 為求日後的網路管理與維護工作能夠事半功倍, 所有的網路佈線架構、裝置組態設定、個人電腦的硬體配備, 甚至電腦上的軟體設定、版權資訊等, 最好都記錄在網路管理文件中:
16-1-3 故障管理 (Fault Management) • 網路隨時都保持在正常的運作狀態下, 是所有網路使用者的夢想。一旦網路上出現各種異常現象, 就得依賴相關的技術支援人員執行『故障排除』 (Troubleshooting)作業。 • 網路上出現異常狀態時, 常會使得網路使用者的日常作業大受干擾, 嚴重時甚至完全停擺。
故障管理 (Fault Management) • 以最少的時間與精力來解決網路上的異常狀態, 是故障管理的要求。如此一來, 網路上的使用者才不至於因網路異常而大大降低了生產力。為此, 進行故障排除作業時, 最好順手記錄下該網路異常狀態以及最後所採用的解決方案。日後若碰到相同的問題時, 則可依據之前的記錄文件, 迅速將故障排除掉。
故障管理 (Fault Management) • 當然了, 進行故障排除時, 若能同時參考故障裝置的組態設定文件, 也能幫助技術人員更快找出問題所在。所以, 要做好故障管理, 得先做好組態管理。 • 此外, 定期備份網路上的重要資料, 可以在發生緊急狀況時迅速重建資料。在網路重點處安裝『不斷電系統』 (Uninterruptible Power Supply, UPS) 也可幫助網路系統抵禦突發性斷電事件。
16-1-4 效能管理 (Performance Management) • 網路的運作效率直接影響到使用者的生產力, 網路傳輸一旦壅塞, 所有透過網路進行的作業就不靈光了。所以嚴格說起來, 網路管理中的效能管理也可視為一種『預防性』的故障管理。 • 一般而言, 可透過下列指標做為傳輸效能的判別依據。
效能管理 (Performance Management) • 回應時間 (Response Time) 使用 PING 工具程式來檢測特定網路節點的回應時間。若該節點的回應時間跟平常比起來較長, 則須進一步的查驗。當然了, 除了 PING 回應時間外, 電子郵件收發的回應時間、瀏覽網頁的回應時間等亦是網管人員監控的項目之一。 • 傳輸正確率 (Accuracy) 透過網路傳送一個檔案到各處後再傳送回來, 將傳回檔案與原始檔案做比較, 若兩者完全相同則表示網路傳輸正常。除此之外, 網管人員亦應透過網路管理程式定期監視網路上『錯誤封包』的數量, 藉此評估網路的傳輸正確率。
效能管理 (Performance Management) • 傳輸流量 (Throughput) 與線路使用率 (Utilization) 網路系統是由一條又一條的傳輸連線所組成的, 若其中某些傳輸連線或網路連線裝置上的資料傳輸流量與線路使用率增高, 那就表示這裡的網路連線需要重新調整, 以增加傳輸頻寬, 進而提昇網路運作效益。
16-1-5 安全管理 (Security Management) • 在一個運作良好的網路系統下, 使用者可以透過網路連線存取網路上的各種資源。此時除了要求使用者自律, 不去破壞他人的資料外, 顯然網路管理者也得設定一些必要的保護措施來保護網路資源。
安全管理 (Security Management) • 只開放必要權限給必要人員是安全管理的基本要求, 以防止非法使用者對網路資源的竊取與破壞。此外, 網路管理員也可透過稽核 (Auditing) 機制, 讓網路伺服器記錄下重要的安全事件, 以供網路管理員掌握網路安全狀態。 • 由於網路安全涉及的層面很廣, 本章後面各節會再介紹其中的重要議題。
16-1-6 會計管理 (Accounting Management) • 使用網路傳輸技術, 是為了透過網路提高生產力。合理的使用網路資源可以提昇生產力, 但過度使用網路資源則會造成不必要浪費。以最少的投資得到最大的收益, 是會計管理的目標: • 資產管理 (Asset Management) 記錄網路傳輸線路、連接設備、伺服器等資源的建置與維護成本, 並記錄各種網路資源的使用狀況, 以瞭解各種網路資源的成本效益。
會計管理 (Accounting Management) • 成本控制 (Cost Control) 對於網路上的消耗性資源 (例如:列印紙張、碳粉、墨水匣、備份磁帶等) 必須控制其使用量, 以避免不必要的資源浪費。 • 使用計費 (Charge-back) 記錄網路資源的使用狀況, 分析各部門各員的使用率, 以計算出各部門實際所消耗的資源成本。
16-2 網路管理常用的通訊協定 • 在網路系統運作正常的狀態下, 網路管理人員只要坐在自己的電腦面前, 便可以管理整個網路上各種重要的網路設備, 這得歸功於『網路管理通訊協定』的幫忙。 • 網路管理通訊協定可分為兩類, 第一類是用來修改遠端裝置組態的『遠端組態通訊協定』, 另一類則是用來監視網路運作狀態的『網路監控通訊協定』。
16-2-1 可用於遠端組態的通訊協定 ―Telnet 與 HTTP • 許多網路設備 (例如:路由器、防火牆、網路伺服器、網路印表機等) 都得完成複雜的組態設定後才能發揮出正常的功用, 但在節省成本的考量下, 這些的網路設備卻都沒有配備螢幕、鍵盤與滑鼠。 • 您得透過另一台電腦連上這些網路設備, 才能進一步修改或查看這些網路設備的組態設定。
可用於遠端組態的通訊協定 ―Telnet 與 HTTP • 為了讓網管人員可以從遠端查看與修改網路設備的組態設定, 這些網路設備通常需支援一兩種『遠端組態通訊協定』, 讓網管人員的電腦透過這個通訊協定連上這些網路設備, 進行網路設備組態維護工作。
可用於遠端組態的通訊協定 ―Telnet 與 HTTP • 有些廠商生產的網路設備, 會支援專屬的遠端組態通訊協定。網管人員的電腦若要透過這種專屬的組態協定連上該網路設備, 就需使用廠商所提供的專屬軟體才行。而這些網路裝置除了支援專屬的通訊協定外, 多半還會再支援一些常見的通訊協定, 以利網管人員使用, 其中最常見的就是 Telnet 協定了。
可用於遠端組態的通訊協定 ―Telnet 與 HTTP • 幾乎所有複雜的網路裝置都支援 Telnet 協定, 這也使網管人員的工作方便多了,因為幾乎所有的作業系統都提供 Telnet 用戶端程式。而隨著 WWW 的迅速崛起,新一代的網路裝置除了支援 Telnet 協定外, 也陸續支援 HTTP 協定, 讓網管人員在進行組態維護工作時又多了一種選擇。
16-2-2 網路監控通訊協定 ―SNMP 與 RMON • 秀才不出門能知天下事, 現代人透過網際網路也的確可以在電腦前掌握天下事。對網管人員而言, 能夠即時掌握網路目前運作狀態, 則是最為重要的。 • 為了讓網管人員可以從遠端即時瞭解所有的網路運作狀態, 許多網路設備都支援了多種網路監控通訊協定, 在眾多網路監控通訊協定 (包括某些廠商的專屬協定) 中, 最常見的便是 SNMP (Simple Network Management Protocol , 簡易網路管理協定) 與RMON (Remote Monitoring, 遠端監視) 這兩種通訊協定了。
SNMP 協定 • 在網路架構日益龐大的現代, 網路管理者可能需要監控許多不同的網路設備,如果每一種設備都要用不同方式監控的話, 對於網路管理者可說是相當沈重的負擔。 • 所以SNMP 主要是提供一個統一的協定, 只要設備支援SNMP 協定, 網路管理者可以用SNMP 定義好的標準操作去收集網路設備目前
SNMP 協定 • 由於各項網路設備差異性甚大, 所以SNMP 使用『管理資料庫』(MIB, Management Information Base) 的概念, 不同種類的設備具有不同的MIB, MIB 則以樹狀結構定義好設備的屬性, 只要匯入MIB, 就能知道該設備可以取得的資訊。
SNMP 協定 • 在SNMP 的運作模型下, 依據主從關係區分成『管理站』(Management Station) 以及『受管理裝置』(Managed Device), 在整個運作架構中主要有四種元件:『管理程式』(Manager)、『管理代理程式』(Management Agent)、『網路管理通訊協定』(Network Management Protocol) 與『管理資料庫』(MIB)。
SNMP 協定 • 『管理程式』存在於網管人員的管理站電腦(稱為Network Management System,簡稱NMS) 上, 『管理代理程式』與『管理資料庫』則存在『受管理裝置』內。 • 受管理裝置會將目前的運作狀態資訊存入『管理資料庫』內, 『管理程式』則透過『網路管理通訊協定』指揮『管理代理程式』存取『管理資料庫』上的資訊:
SNMP 協定 • SNMP 是一個應用層協定, 其使用的是UDP 封包, 目前共有v1 、v2、v3 等3 種版本, v2 主要加強了v1 不足的管理功能, 而v3 則特別針對安全進行強化。 • 目前支援SNMP 的設備大多支援v1 、v2 版本, 比較高階的設備才會支援SNMP v3版本。
RMON 協定 • 儘管 SNMP 運作模型制定了網路管理的基本運作架構, 但 SNMP 規格中並沒有詳細規定網路設備 MIB 裡面該有那些監控項目。 • 除了幾套業界公認的 MIB 規格外, 許多廠商也常為自家的網路設備設計專屬的 MIB 。不同的 MIB 之間無法互通, 這多少也讓管理效率打了折扣。 • 此外, 早期 MIB 所收集的資訊多偏重在裝置的運作狀態, 無法回報出實際的網路狀態, 也是美中不足之處。
RMON 協定 • 為此 RMON 制定出一組標準的 MIB, 讓所有的網路設備與管理站皆能互通, 規格中還增列了許多有用的網路傳輸狀態資訊。 • 此外 RMON 還制定了 Alarm (警示)群組, 讓管理站可以透過代理程式設定一些偵測規則, 一旦受管理裝置發現網路傳輸狀態符合某個偵測規則, 便會主動傳回相對應的警告訊息給管理站。
16-3 帳號與權限管理 • 『讓必要的人員存取相關的資源, 將不相干的人員排除在外』是確保網路安全的執行方針。為了確保這點, 人們發展出兩種不同的管理方式: • 共享層級 (Share Level) 的管理方式 在空無一物的山壁前大喊一聲:『芝麻開門!』, 山壁應聲而開, 整山的寶藏就展現在您眼前。阿里巴巴與四十大盜的故事, 給了網路安全設計師靈感, 設計出這種安全模式。
帳號與權限管理 在這種安全模式下, 所有的網路資源都會依據某個密碼來決定要不要提供服務。只要您有該網路資源的正確密碼, 您就可以順利存取該網路資源。除此之外, 網路資源也可以依據不同的密碼提供使用者不同的存取權限。換句話說, 這是種認密碼不認人的安全機制。 因為每個網路資源都得個別設定它的密碼與存取權限, 所以這也是一種分散式的安全機制。Windows 95/98/ME 要分享出網路資源時, 便是採用這種安全機制。
帳號與權限管理 • 使用者層級 (User Level) 的管理方式 相較於認密碼不認人的共享式安全機制, 使用者層級的系統安全則是另一種會認人的安全機制。所有的使用者都得有一個帳號, 用這個帳號登入後, 才能使用網路上的各種資源。各個網路資源則可以依據不同的帳號給予不同的存取權限:
帳號與權限管理 為了確認使用者就是帳號的合法擁有者, 使用者要登入帳號時依舊必須輸入密碼。網域伺服器收到使用者輸入的密碼後, 會檢查密碼是否正確, 正確的密碼才能通過身分驗證程序, 順利登入該網域。 由於使用者身分驗證的工作都統一由某台伺服器負責, 所以算是一種集中式安全機制。Windows NT/2000 、Windows XP 、Windows Server 2003/2008、Windows Vista/7 與 Unix 分享出網路資源時, 都可以採用這種安全機制:
帳號與權限管理 • 在共享層級的機制下, 每個網路資源都得各自設定一套密碼, 然後再通知所有相關的使用者。一旦要改變密碼, 就要再次通知所有相關的使用者。此外, 認密碼不認人的安全存取模式, 一旦出了問題, 也不易追查是誰洩漏出密碼。 • 隨著網路規模的逐漸擴大, 採用使用者層級的安全機制也就成為大勢所趨。 • 只開放必要權限給必要人員, 是設定帳號權限時的重點。若使用者同時身負兩種工作角色, 那就提供兩個不同的帳號供該使用者運用。
密碼設定原則 • 為了防止密碼被『嘗試錯誤法』破解, 使用者所設定的密碼不應過短, 更不可以不設密碼!而且應該定期更換密碼。但密碼更換得太頻繁也不見得好。因為如此一來, 有些使用者就會因為害怕忘記密碼, 而將密碼抄在一張小紙片上, 甚至貼在螢幕前或鍵盤下, 反而增加洩密的機會。 • 此外, 有些使用者乾脆一次就取 2 個密碼, 每次網路管理員要求他更換密碼時, 他就從這2 個密碼中更換成下一個密碼。如此一來, 這些密碼所能提供的保護也將大打折扣。
密碼設定原則 • 為了防止密碼被瞎猜猜中, 使用者不應該以自己、親人或偶像的生日、姓名、電話或住址當作密碼。所有在字典上查得到的單字, 都不適合作為密碼。 • 此外, 網路管理者也應該設定『若在特定時間內 (例如 3 分鐘) 輸入密碼錯誤超過特定的次數 (例如 3 次) , 則將該帳號鎖住一段時間 (例如 10 分鐘), 在鎖住期間該帳號無法用來登入』, 以避免帳號密碼被嘗試錯誤法破解。
16-4 資料加密與解密 • 16-4-1 資料安全機制的目標 • 16-4-2 不可還原的編碼函數 • 16-4-3 對稱金鑰加解密函數 • 16-4-4 非對稱金鑰加解密函數 • 16-4-5 雜湊函數
16-4-1 資料安全機制的目標 • 隨著網路的普及, 資料透過網路傳遞已是生活的一部份了。然而電子化的資料容易被複製、偽造、修改或破壞, 為了避免別人非法存取我們的資料, 資料安全機制應運而生。資料安全機制的目標有: • 完整無誤/完整性(Integrity) 確認從網路收到的資料是正確的, 途中沒有被篡改或變造。
資料安全機制的目標 • 身分驗證 (Authentication) 確認資料發送者的身分, 使發送者無法假冒他人身分發送資料。 • 不可否認性(Nonrepudiation) 使發送者無法否認這份資料是他所發出的 • 資訊保密/機密性(Confident iali ty) 確保資料在網路上傳遞時不會被他人竊知內容。
Openssl常用的指令選項 • Openssl常用指令選項: • in:密文或明文的輸入路徑。 • out:密文或明文的輸出路徑。 • inkey:密鑰的輸入路徑。 • pubin、pubout:輸入(出)的密鑰路徑。 • d:解密。 • e:加密。 • des3:3DES對稱加密演算法。 • genrsa:rsa非對稱加密演算法,產生金鑰時使用。 • rsautl:rsa非對稱加密演算法,加解密時使用。 • dgst:執行摘要運算,通常還需指定使用何種雜湊函數。 • md5、sha:MD5或SHA雜湊函數。
16-4-2 不可還原的編碼函數 • 若不想在傳輸途中洩密, 則最好將資訊經過編碼處理, 產生另一段編碼過的資訊。舉例來說, 我們可以用 A 取代 Z, B 取代 W... 等規則, 將原來的內容轉換成新的編碼資料。傳送到目的地後, 再依照相反的步驟還原回來, 如右圖:
