[[174097]]

前不久，美國計算機緊急預備小組聯手美國國土安全部向網絡安全專業人員發布了國家網絡安全感知系統(National Cyber Awareness System)建議，其中包含6個建議方法以緩解對網絡基礎設施設備的威脅，包括帶外管理。下面是對這6個建議的簡單介紹：

1.分離網絡和功能。當發現入侵活動時，受影響的網段(而非整個網絡)應該自動關閉，其余部分則繼續運行。

2.限制不必要的橫向通信。通過基于主機的防火墻規則和訪問控制列表確保適當的通信。

3.強化網絡設備。加密遠程管理協議、禁用不必要的服務并部署最新修復程序。

4.對基礎設施設備的安全訪問。通過適當部署網絡安全訪問政策，防止未經授權訪問。

5.執行帶外管理。備用路徑用于遠程管理網絡基礎設施設備以及主動響應帶內網絡的入侵活動。

6.檢查硬件和軟件的完整性。可發現并阻止或移除因入侵活動而被篡改的產品。所有網絡管理員應該定期檢查產品完整性。

SDN控制器在帶內網絡對流量執行帶外管理的重要性往往被忽視，SDN控制器可幫助網絡管理員減少查找和修復帶內網絡漏洞的時間，緩解漏洞的措施應該是帶外風險管理計劃的一部分。例如，關鍵網絡設備必須正確配置以讓攻擊者難以觀察管理員在BIOS、設備配置和鏈接升級中所作的變更。下面是對網絡基礎設施設備執行帶外管理的一些方法。

在SDN控制器大腦背后是OpenFlow，它是一種通信標準，它使該控制器將控制平面從網絡設備的數據平面分離。該控制器會在轉發流量(控制平面)到帶內網絡時告訴網絡設備應該做什么，但不會實際轉發流量(數據平面)。如果網絡設備變得擁塞，控制器可指示正常的設備放入流量。

OpenFlow已被用于鏡像帶內流量用于對流量的帶外管理，這可讓管理員監控帶內網絡設備，而無論設備是否開機、關機、無響應或者無法通過帶內網絡訪問。如果帶內網段被發現無法開機，帶外管理可用于重新啟動它。

帶外管理部署

帶外管理可物理或虛擬地部署在企業內部，或者以混合方式部署。如果使用多控制器，企業應該考慮邊界網關協議(BGP)是否對帶外管理提供支持。

這種聯合技術讓多控制器在控制器之間交流信息，這是跨越兩個或多個地理點的大型網絡的特性。例如，當一個控制器無法正常工作，相同SDN環境的其他控制器將自動通過指定路由器獲得數據包。企業的網絡政策應該涵蓋BGP作為對帶外管理的支持協議之一。(請注意，一臺控制器可用于小型商業網絡)。

如果企業不想在內部部署管理軟件，則可以考慮基于訂閱的云管理服務。例如，Cradlepoint提供這種服務作為云產品。另一個考慮因素是供應商是否允許網絡管理員隨時隨地使用無線USB調制解調器來遠程管理帶外和帶內網絡設備。

基于供應商的帶外管理

有些SDN供應商需要企業部署帶外網絡以提供更好的延遲時間，特別是當帶內網段出現故障時。這些供應商包括Ixia和Gigamon等流量監控公司，以及思科、Brocade和惠普等傳統網絡供應商。

智能平臺管理接口(IPMI)是對內部服務器或設備進行帶外管理的最常見方法。IPMI使用Base Management Controller(它自己有電源)通信端口和操作系統，基于供應商的IPMI設備包括戴爾DRAC/iDRAC、惠普Integrated Lights-Out和IBM Remote Supervisor。

但IPMI設備如果沒有正確配置，則會出現漏洞，例如默認密碼。在帶外管理用于對受感染IB網段執行修復措施之前，應該修復這些漏洞。

性能監控

為了查看帶外網絡如何管理，我們需要監控機制。其中一種可能性是Tenable的SecurityCenter Continuous View，這是一個儀表板，可提供對帶外管理設備或系統中漏洞、威脅和網絡流量的風險評估。另一個選項是Cradlepoint的Modem Healthe Management，提供對調制解調器的自我健康監控、WAN端口速度控制以及基本和高級日志記錄用于故障排除。

企業應關注《常見漏洞和披露》以及美國CERT對帶外漏洞利用的通告，這些可能是性能監控設備可能忽視的漏洞。最重要的是，要比攻擊者領先一步。