前不久,美国计算机紧急预备小组联手美国国土安全部向网络安全专业人员发布了国家网络安全感知系统(National Cyber Awareness System)建议,其中包含6个建议方法以缓解对网络基础设施设备的威胁,包括带外管理。下面是对这6个建议的简单介绍:
1.分离网络和功能。当发现入侵活动时,受影响的网段(而非整个网络)应该自动关闭,其余部分则继续运行。
2.限制不必要的横向通信。通过基于主机的防火墙规则和访问控制列表确保适当的通信。
3.强化网络设备。加密远程管理协议、禁用不必要的服务并部署最新修复程序。
4.对基础设施设备的安全访问。通过适当部署网络安全访问政策,防止未经授权访问。
5.执行带外管理。备用路径用于远程管理网络基础设施设备以及主动响应带内网络的入侵活动。
6.检查硬件和软件的完整性。可发现并阻止或移除因入侵活动而被篡改的产品。所有网络管理员应该定期检查产品完整性。
SDN控制器在带内网络对流量执行带外管理的重要性往往被忽视,SDN控制器可帮助网络管理员减少查找和修复带内网络漏洞的时间,缓解漏洞的措施应该是带外风险管理计划的一部分。例如,关键网络设备必须正确配置以让攻击者难以观察管理员在BIOS、设备配置和链接升级中所作的变更。下面是对网络基础设施设备执行带外管理的一些方法。
在SDN控制器大脑背后是OpenFlow,它是一种通信标准,它使该控制器将控制平面从网络设备的数据平面分离。该控制器会在转发流量(控制平面)到带内网络时告诉网络设备应该做什么,但不会实际转发流量(数据平面)。如果网络设备变得拥塞,控制器可指示正常的设备放入流量。
OpenFlow已被用于镜像带内流量用于对流量的带外管理,这可让管理员监控带内网络设备,而无论设备是否开机、关机、无响应或者无法通过带内网络访问。如果带内网段被发现无法开机,带外管理可用于重新启动它。
带外管理部署
带外管理可物理或虚拟地部署在企业内部,或者以混合方式部署。如果使用多控制器,企业应该考虑边界网关协议(BGP)是否对带外管理提供支持。
这种联合技术让多控制器在控制器之间交流信息,这是跨越两个或多个地理点的大型网络的特性。例如,当一个控制器无法正常工作,相同SDN环境的其他控制器将自动通过指定路由器获得数据包。企业的网络政策应该涵盖BGP作为对带外管理的支持协议之一。(请注意,一台控制器可用于小型商业网络)。
如果企业不想在内部部署管理软件,则可以考虑基于订阅的云管理服务。例如,Cradlepoint提供这种服务作为云产品。另一个考虑因素是供应商是否允许网络管理员随时随地使用无线USB调制解调器来远程管理带外和带内网络设备。
基于供应商的带外管理
有些SDN供应商需要企业部署带外网络以提供更好的延迟时间,特别是当带内网段出现故障时。这些供应商包括Ixia和Gigamon等流量监控公司,以及思科、Brocade和惠普等传统网络供应商。
智能平台管理接口(IPMI)是对内部服务器或设备进行带外管理的最常见方法。IPMI使用Base Management Controller(它自己有电源)通信端口和操作系统,基于供应商的IPMI设备包括戴尔DRAC/iDRAC、惠普Integrated Lights-Out和IBM Remote Supervisor。
但IPMI设备如果没有正确配置,则会出现漏洞,例如默认密码。在带外管理用于对受感染IB网段执行修复措施之前,应该修复这些漏洞。
性能监控
为了查看带外网络如何管理,我们需要监控机制。其中一种可能性是Tenable的SecurityCenter Continuous View,这是一个仪表板,可提供对带外管理设备或系统中漏洞、威胁和网络流量的风险评估。另一个选项是Cradlepoint的Modem Healthe Management,提供对调制解调器的自我健康监控、WAN端口速度控制以及基本和高级日志记录用于故障排除。
企业应关注《常见漏洞和披露》以及美国CERT对带外漏洞利用的通告,这些可能是性能监控设备可能忽视的漏洞。最重要的是,要比攻击者领先一步。