SNMP对安全风险管理还有价值吗?

日期: 2010-06-11 来源:TechTarget中国

  在过去几年里,关于健康保险问题大家一直在进行着激烈的争论,其中一个焦点话题就是如何对风险进行管理。是不是应该强迫所有市民都通过购买保险的方式来管理风险,还是应该允许他们通过自己认为合适的其它手段来进行管理?对于网络管理领域的讨论来说,这是一个非常合适的类比。通过将网络迁移到云中,在设备管理方面的需求就进一步减少。但从另一角度来看,由于云本身规模的扩大,它也会逐渐成为越来越有吸引力的目标。

  举例来说,通过大楼里的光纤进行连接的云与广域网连接相比,在遇到整体计算机资源出现单点故障时发生的情况是完全不同的。因此,我们可以得出这样的结论:风险管理必须属于网络规划的一个组成部分。

  在最近发表的一篇文章中,我提出了这样的观点,即对于大型网络来说,snmp是一种非常重要的监测工具。在较小规模的网络中,snmp并不能完全发挥其作用。考虑到这种情况,你不得不在容忍低可用性和扩大网络但有可能导致复杂性增加之间进行选择。这是现实的问题,但更大的顾虑可能来自2002年以前由于snmp缺陷造成的故障的相关报道。

  是的,snmp非常老(诞生于1988年)。也经历过几次重大更新(三次),并且一直是各种黑客关注的重点。关于针对snmp的各种攻击,赛门铁克公司提供了一个非常有趣的例子,专家展示了一种通过中间人攻击破坏SSL和SSH加密协议的技术。为了防范这种特殊的攻击方式,就需要在路由器的普通文件传输协议(TFTP)中加入访问控制列表(ACL)并且利用高质量的密码取代随意的团体名称。

  这些担忧,加上周边通过用户数据报协议(UDP)传输数据带来的忧虑不是没有根据的,已经可以让不少管理员加入不信任snmp的行列。表一提供的内容就是有效的,但绝非最终出发点的snmp强化战略。

  表一

  再加上由于不了解实际情况而产生的不信任气氛,一些软件在没有提供对snmp v3版本支持的情况下就发布了(举例来说,2009年新发布的Glassfish)。这导致已经部署的大量设备只能支持snmpv1和snmpv2,至少有部分企业应用不能支持snmpv3。在这里,成本可能不是主要原因:图A显示的是一台支持snmpv3的低成本接入点设备,它的价格仅仅是二百美元。

  图A

  抛弃它选择重新开始?

  如同人体健康一样,网络健康需要利用该系统进行限制性管理,因此,没有理由选择抛弃snmp的。考虑到它在分布式管理任务组(DMTF)公共信息模型(CIM)中起的作用。而CIM的数据元素又是Windows管理规范和其他管理工具层的一部分,原因就是显而易见的了。设备管理信息库(MIBs)和CIM的价值在于,可以协助建立标准的网络语义环境。它们是配置管理和许多其它用途的直接基础。DMTF对CIM值得推广优点的描述就是“通过定义单一的管理信息和服务语义模式可以派生出所有目标和用户设备的能力——即相对于这种模式来说,所有位置之间都是有联系的。”如果没有这些标准,对象模型的抽象化开发将变得难以执行。CIM和snmp之间也许可以脱钩,但这将耗费为期十年相当长的时间。

  不明朗的市场前景

  snmp是有价值的,并且也是非常重要的,但在现代硬件设计中它应该发挥什么样的作用呢?举例来说,在思科统一计算系统(UCS)的监测设备中它应该采用什么规则对于设备制造商来说,它们不关心snmp是因为不存在这方面的需求?一个来自新蛋网关于“snmp”的库存搜索并不一定是什么确凿的证据,但在未来包含了snmp功能的设备数字将达到几百台,而且有几十家厂商选择支持snmpv3,应该能说明一定的问题。这或许反映出在实际环境中,它并没有得到充分利用,尽管snmp经常被列在设备功能的在线目录上,但是却并没有说明它支持的是V1,V2或V3版本。一张典型网络中可能存在几百台值得利用snmp监测的设备,因此,通过简单的硬件更新来实现snmp安全是不可忽视的事情。

  未来的传感器和意义建构

  将snmp的最终目标想象为一张可以支持交互操作的大型传感器框架网络是非常明智的。为了成为普遍意义上说的综合传感器系统就需要获取更多的信息,一个典型的例子就是开放地理空间联盟提供的传感器建模语言(SensorML)。SensorML支持的不仅仅是地理方面的设备,也包含了很多其它类型设备的控制管理和决策。SensorML的处理过程是“发现并执行”。让它安全,就意味着你可以获得健康网络的生活。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 如何减少APT攻击造成的损失?

    高级持续威胁(APT)攻击者可能已经渗透到你的网络:这是安全领域的新现象,并不罕见,但是你应该做些什么呢?这是超越传统思维定势(只考虑预防方面的问题)的问题。

  • 小心网络瘫痪 路由器安全漫谈

    黑客利用路由器漏洞发起攻击通常是比较容易的,路由器攻击会浪费CPU周期,误导信息流量,使网络陷于瘫痪。那么安全管理人员需要采取哪些有效的安全措施呢?

  • SNMP网络安全性配置指南

    如何在Windows Server 2003中为“简单网络管理协议”(SNMP)服务配置网络安全性呢?SNMP服务起着代理的作用,它会收集可以向SNMP管理站或控制台报告的信息……

  • 网管安全日志 服务器流量监控

    当服务器在进入数据中心机房托管上架以后,就正式对外提供7*24小时的服务了。服务器内进出的数据包都有一定的流动量,数据中心机房是怎样监控到我们服务器的进出流量的呢?