Security + Network Management

Firewalls

isolates organization’s internal net from larger Internet, allowing some packets to pass, blocking others

将组织的内部网络与更大的互联网隔离开来,允许一些数据包通过,阻止其他数据包

防火墙(firewall)是一个硬件和软件的结合体,它将一个机构的内部网络与整个因特网隔离开,允许一些数据分组通过而阻止另一些分组通过。

image-20221211144244634

  • prevent denial of service attacks:

SYN flooding: attacker establishes many bogus TCP connections, no resources left for “real” connections

  • prevent illegal modification/access of internal data

attacker replaces homepage with something else

  • allow only authorized access to inside network

set of authenticated users/hosts

  • three types of firewalls:
  1. stateless packet filters

  2. stateful packet filters

  3. application gateways

Stateless packet filtering

个机构通常都有一个将其内部网络与其 ISP(并因此与更大的公共因特网相连)相连的网关路由器。所有离开和进入内部网络的流量都要经过这个路由器,而这个路由器正是分组过滤(packet filtering)出现的地方

internal network connected to Internet via router firewall

router filters packet-by-packet, decision to forward/drop packet based on:

• source IP address, destination IP address

• TCP/UDP source and destination port numbers

• ICMP message type

• TCP SYN and ACK bits

example 1: block incoming and outgoing datagrams with IP protocol field = 17 and with either source or dest port = 23

result: all incoming, outgoing UDP flows and telnet connections are blocked

一条过滤策略能够基于地址和端口号的结合。例如,一台过滤路由器能够转发所有Telnet 数据报(那些具有端口号23 的数据报)、但那些包括在一个特定的IP地址列表中的去往和来自的地址除外。

example 2: block inbound TCP segments with ACK=0.

result: prevents external clients from making TCP connections with internal clients, but allows internal clients to connect to outside.

过滤也可根据 TCP ACK 比特是否设置来进行。如果一个机构要使内部客户连接到外部服务器,却要防止外部客户连接到内部服务器,这个技巧很有效。3.5节讲过,在每个TCP连接中第一个报文段的 ACK 比特都设为0、而连接中的所有其他报文段的 ACK 比特都设为1。因此,如果一个机构要阻止外部客户发起到内部服务器的连接,就只需直接过滤进入的所有 ACK 比特设为0的报文段。这个策略去除了所有从外部发起的所有TCP连接,但是允许内部发起TCP连接。

image-20221211150800122

Access Control Lists

在路由器中使用访问控制列表实现防火墙规则,每个路由器接口有它自己的列表。

ACL: table of rules, applied top to bottom to incoming packets: (action, condition) pairs: looks like OpenFlow forwarding!

image-20221211151101163

第一条规则允许任何具有目的端口80的 TCP分组离开该机构网络;

第二条规则允许任何具有源端口80且ACK比特置位的TCP分组进入该机构网络。

Stateful packet filtering

状态分组过滤器

image-20221211151940300

track status of every TCP connection:增加了核对连接的状态跟踪

track connection setup (SYN), teardown (FIN): determine whether incoming, outgoing packets “makes sense” 通过跟踪SYN、FIN控制分组判断是否有意义(防止一些伪造成符合无状态分组过滤器ACL表项的包进入攻击)

为防火墙能够通过观察三次握手(SYN、SYNACK 和 ACK)来观察一条新连接的开始;而日当它看到该连接的个 FIN分组时。它能够观察该连接的结束

timeout inactive connections at firewall: no longer admit packets

当防火墙经过比如说60秒还没有看到该连接的任何活动性,它也能够(保守地)假设该连接结束了。

Application gateways

filter packets on application data as well as on IP/TCP/UDP fields.

image-20221211152615727

应用程序网关除了看 IP/TCP/UDP首部外,还基于应用数据来做策略决定。

*example:*只允许内部客户的受限集合向外Telnet,不允许任何外部客户向内Telnet

  1. 要求所有Telnet用户通过网关进行Telnet。

  2. 对于有权限的用户,网关会建立到dest主机的Telnet连接。网关在2个连接之间中继数据

  3. 路由器过滤器阻止所有不是来自网关的Telnet连接。

Network Management

Autonomous systems (aka “network”): 100s or 1000s of interacting hardware/software components

automatic way to report on large number of hosts, switches and routers

image-20221211154155940

Network Management standards

OSI CMIP:Common Management Information Protocol

SNMP: Simple Network Management Protocol

Simple Network Management Protocol (SNMP)

便于管理信息交换的协议

A Protocol that Facilitates the exchange of management information

between network devices.

控制和监控网络设备的状态

•允许网络管理员:

管理网络性能

发现并解决网络问题

计划网络增长

SNMP Basic Components

网络管理站

•收集和存储管理信息,并通过SNMP协议提供给网管使用

•可以是工作站或个人电脑

网络管理系统(NMS)

•执行监控和控制被管理设备的应用程序

代理

网络管理软件模块,位于被管理设备中

MIB (管理信息库)

•由经理和代理共同使用,存储和交换管理信息

image-20221211155035341