[[174097]]

前不久，美國計算機(jī)緊急預(yù)備小組聯(lián)手美國國土安全部向網(wǎng)絡(luò)安全專業(yè)人員發(fā)布了國家網(wǎng)絡(luò)安全感知系統(tǒng)(National Cyber Awareness System)建議，其中包含6個建議方法以緩解對網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的威脅，包括帶外管理。下面是對這6個建議的簡單介紹：

1.分離網(wǎng)絡(luò)和功能。當(dāng)發(fā)現(xiàn)入侵活動時，受影響的網(wǎng)段(而非整個網(wǎng)絡(luò))應(yīng)該自動關(guān)閉，其余部分則繼續(xù)運(yùn)行。

2.限制不必要的橫向通信。通過基于主機(jī)的防火墻規(guī)則和訪問控制列表確保適當(dāng)?shù)耐ㄐ拧?/p>

3.強(qiáng)化網(wǎng)絡(luò)設(shè)備。加密遠(yuǎn)程管理協(xié)議、禁用不必要的服務(wù)并部署最新修復(fù)程序。

4.對基礎(chǔ)設(shè)施設(shè)備的安全訪問。通過適當(dāng)部署網(wǎng)絡(luò)安全訪問政策，防止未經(jīng)授權(quán)訪問。

5.執(zhí)行帶外管理。備用路徑用于遠(yuǎn)程管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備以及主動響應(yīng)帶內(nèi)網(wǎng)絡(luò)的入侵活動。

6.檢查硬件和軟件的完整性。可發(fā)現(xiàn)并阻止或移除因入侵活動而被篡改的產(chǎn)品。所有網(wǎng)絡(luò)管理員應(yīng)該定期檢查產(chǎn)品完整性。

SDN控制器在帶內(nèi)網(wǎng)絡(luò)對流量執(zhí)行帶外管理的重要性往往被忽視，SDN控制器可幫助網(wǎng)絡(luò)管理員減少查找和修復(fù)帶內(nèi)網(wǎng)絡(luò)漏洞的時間，緩解漏洞的措施應(yīng)該是帶外風(fēng)險管理計劃的一部分。例如，關(guān)鍵網(wǎng)絡(luò)設(shè)備必須正確配置以讓攻擊者難以觀察管理員在BIOS、設(shè)備配置和鏈接升級中所作的變更。下面是對網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備執(zhí)行帶外管理的一些方法。

在SDN控制器大腦背后是OpenFlow，它是一種通信標(biāo)準(zhǔn)，它使該控制器將控制平面從網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)平面分離。該控制器會在轉(zhuǎn)發(fā)流量(控制平面)到帶內(nèi)網(wǎng)絡(luò)時告訴網(wǎng)絡(luò)設(shè)備應(yīng)該做什么，但不會實(shí)際轉(zhuǎn)發(fā)流量(數(shù)據(jù)平面)。如果網(wǎng)絡(luò)設(shè)備變得擁塞，控制器可指示正常的設(shè)備放入流量。

OpenFlow已被用于鏡像帶內(nèi)流量用于對流量的帶外管理，這可讓管理員監(jiān)控帶內(nèi)網(wǎng)絡(luò)設(shè)備，而無論設(shè)備是否開機(jī)、關(guān)機(jī)、無響應(yīng)或者無法通過帶內(nèi)網(wǎng)絡(luò)訪問。如果帶內(nèi)網(wǎng)段被發(fā)現(xiàn)無法開機(jī)，帶外管理可用于重新啟動它。

帶外管理部署

帶外管理可物理或虛擬地部署在企業(yè)內(nèi)部，或者以混合方式部署。如果使用多控制器，企業(yè)應(yīng)該考慮邊界網(wǎng)關(guān)協(xié)議(BGP)是否對帶外管理提供支持。

這種聯(lián)合技術(shù)讓多控制器在控制器之間交流信息，這是跨越兩個或多個地理點(diǎn)的大型網(wǎng)絡(luò)的特性。例如，當(dāng)一個控制器無法正常工作，相同SDN環(huán)境的其他控制器將自動通過指定路由器獲得數(shù)據(jù)包。企業(yè)的網(wǎng)絡(luò)政策應(yīng)該涵蓋BGP作為對帶外管理的支持協(xié)議之一。(請注意，一臺控制器可用于小型商業(yè)網(wǎng)絡(luò))。

如果企業(yè)不想在內(nèi)部部署管理軟件，則可以考慮基于訂閱的云管理服務(wù)。例如，Cradlepoint提供這種服務(wù)作為云產(chǎn)品。另一個考慮因素是供應(yīng)商是否允許網(wǎng)絡(luò)管理員隨時隨地使用無線USB調(diào)制解調(diào)器來遠(yuǎn)程管理帶外和帶內(nèi)網(wǎng)絡(luò)設(shè)備。

基于供應(yīng)商的帶外管理

有些SDN供應(yīng)商需要企業(yè)部署帶外網(wǎng)絡(luò)以提供更好的延遲時間，特別是當(dāng)帶內(nèi)網(wǎng)段出現(xiàn)故障時。這些供應(yīng)商包括Ixia和Gigamon等流量監(jiān)控公司，以及思科、Brocade和惠普等傳統(tǒng)網(wǎng)絡(luò)供應(yīng)商。

智能平臺管理接口(IPMI)是對內(nèi)部服務(wù)器或設(shè)備進(jìn)行帶外管理的最常見方法。IPMI使用Base Management Controller(它自己有電源)通信端口和操作系統(tǒng)，基于供應(yīng)商的IPMI設(shè)備包括戴爾DRAC/iDRAC、惠普Integrated Lights-Out和IBM Remote Supervisor。

但I(xiàn)PMI設(shè)備如果沒有正確配置，則會出現(xiàn)漏洞，例如默認(rèn)密碼。在帶外管理用于對受感染IB網(wǎng)段執(zhí)行修復(fù)措施之前，應(yīng)該修復(fù)這些漏洞。

性能監(jiān)控

為了查看帶外網(wǎng)絡(luò)如何管理，我們需要監(jiān)控機(jī)制。其中一種可能性是Tenable的SecurityCenter Continuous View，這是一個儀表板，可提供對帶外管理設(shè)備或系統(tǒng)中漏洞、威脅和網(wǎng)絡(luò)流量的風(fēng)險評估。另一個選項是Cradlepoint的Modem Healthe Management，提供對調(diào)制解調(diào)器的自我健康監(jiān)控、WAN端口速度控制以及基本和高級日志記錄用于故障排除。

企業(yè)應(yīng)關(guān)注《常見漏洞和披露》以及美國CERT對帶外漏洞利用的通告，這些可能是性能監(jiān)控設(shè)備可能忽視的漏洞。最重要的是，要比攻擊者領(lǐng)先一步。