回到顶部

Transition Networks 由 Lantronix, Inc. 全资拥有。

Transition Networks

网络安全:身份验证为何如此重要

对于大多数组织来说,物理安全是必须的。无论是视频监视,访问控制,运动检测器还是警报;商业企业已经接受了保护其财产和资产的概念。随着越来越多的业务通过Internet进行,并且用户正在远程登录公司网络,网络安全和保护知识资产的重要性急剧上升。

网络安全的目的是保护网络及其元素免受未经授权的访问破坏,这些破坏可能导致数据,收入和/或生产力的损失。本白皮书将讨论网络设备中当前正在采用的一些安全措施,以限制来自恶意用户的渗透以及可能破坏电子内容的行为。

 

什么是HTTPS,SSL和SSH?

像护照或驾驶执照一样,SSL证书或SSH密钥由受信任的来源(称为证书颁发机构(CA))颁发。许多CA将通过颁发包含公共密钥和所有者身份的数字证书来验证域名和您对域名的所有权是否存在。该证书也是CA的证明,证明证书中包含的公钥属于证书中注明的个人,组织,服务器或其他实体。

HTTPS代表安全超文本传输协议。它是服务器软件,具有“保护”在万维网(www)上进行的交易的功能。如果网站运行的不是HTTPS服务器,则可以在浏览器的URL部分中输入HTTPS而不是HTTP,以进入“安全模式”。金融机构通常会提供HTTPS来支持其在线银行产品,以验证PC和服务器之间传递的信息是“安全的”。

SSL代表安全套接字层,是一种基于标准的加密方法,可使HTTPS安全运行。 SSL被广泛实施以帮助保护互联网交易,并且是大多数金融机构通过网络开展业务的首选方式。它特别基于认证的公钥证书,该证书使用自行生成的私钥和密码。希望实施SSL的组织可以从一些证书颁发机构(CA)购买公共证书,例如:VeriSign,Comodo和Go Daddy。

例如,为了建立从个人计算机到在线银行服务器的SSL连接,个人计算机要求连接并公布其能够使用的加密方法。银行服务器将选择两个组件都能够使用的最高加密方法,然后以其名称,提供密钥的证书颁发机构和公共加密密钥作为响应。此时,客户可以联系证书颁发机构以验证密钥的真实性。个人计算机将通过以下方式做出响应:随机生成一个数字,使用银行服务器提供的公共密钥对随机数字进行加密,然后重新传输到银行服务器。此时,唯一应该能够解密消息的设备是使用其私钥的银行服务器。这将在两个网络组件之间启动一个唯一的“会话”,对在它们之间传递的信息进行加密。

SSH的工作方式与SSL非常相似,但它涵盖OSI模型的不同层,以便两次加密交换的数据。建立物理连接后,第一次加密将在OSI模型的传输层进行。此时,使用大多数设备可以生成的公共密钥对连接进行身份验证。这种对公共密钥的验证创建了一个128位的加密,该加密允许通过客户端和服务器之间的加密消息来提供登录名和密码。验证密码后,将创建一个唯一的会话,并使用私钥对该会话进行数字签名并再次对其进行加密,这一次是在OSI模型的会话层进行的。

在SSH系统受到攻击的情况下,攻击者必须中断第一个128位加密才能截获密码,然后攻击者必须侵入私钥,该私钥是一个非常长的数字序列,用于“模拟”会话。否则,如果它们已登录(即使与“您”恰好在同一时间),则将使用不同的私钥ID对会话进行数字签名,从而验证每个会话的来源。

Transition Networks的许多较新型号,例如ION Chassis,SM24-1000SFP-AH和SM24-100SFP-AH都带有安全套接字层(SSL)和安全外壳(SSH)端接,以实现端到端的安全性。

 

什么是RADIUS?为什么网络管理器会使用ION管理模块(IONMM)来实现它?

RADIUS是首字母缩写词,代表“远程身份验证拨入用户服务”,该服务是一种网络协议,旨在帮助集中管理身份验证过程。 RADIUS已被服务提供商广泛采用,以限制需要在每个网络元素上实施的管理规则的数量。 RADIUS协议旨在以客户端到服务器的关系运行。这意味着所有身份验证规则和监视都在一个或多个中央服务器上完成,并且每个客户端将在允许对客户端进行任何管理之前访问这些规则。

想象一下,您是一家大型服务提供商的网络架构师,该提供商具有20,000个网络元素(交换机,路由器,NID等),并且有50个管理站具有对管理网络的授权访问权。每个管理站可能具有不同的授权级别(即,便携式计算机A可能能够读取/写入NID和访问开关,但可能仅具有对核心设备的读取访问权限)。在使用RADIUS之前,每个网络元素都需要使用规则进行编程,每个新的网络元素也需要使用规则进行编程。对于RADIUS服务器,规则位于一个位置,并且每个客户端设备实际上都从该服务器“学习”规则。

对于RADIUS应用程序,ION管理模块(IONMM)的作用类似于网络访问服务器,因为用户将向IONMM发送管理请求,并将请求直接转发到RADIUS服务器进行身份验证和授权。此功能将帮助网络管理员确保仅授权人员访问IONMM管理信息,而不必担心在其网络中部署的所有IONMM上安装规则。它还可以确保,如果不信任的用户要访问ION管理模块,则该用户将不必访问所有网络规则和身份验证代码,而不必深入研究网络。

Transition Networks的许多模型,例如ION Chassis,SM24-1000SFP-AH和SM24-100SFP-AH都内置了RADIUS。

 

什么是ACL规则,它赋予/阻止访问什么?

从字面上看,访问控制列表(ACL)是一个允许或拒绝对网络设备进行访问的列表。就ION管理模块(IONMM)而言,最好以没有中间立场的“允许”或“拒绝”语句来考虑访问控制列表。您要么被允许进入,要么您被限制在外。

对于IONMM,访问控制列表用于控制对ION机箱管理的访问,并随后对对插入该机箱的卡的管理接口的访问进行控制。 IONMM具有三层访问控制列表。就OSI模型而言,IONMM的最高层访问控制列表位于第4层。在第4层,IONMM可以基于UDP端口,TCP端口或ICMP类型过滤访问。该过滤器基于可能试图获取对管理接口的访问的传输协议的类型来授予或拒绝访问。访问控制的下一个最高层在第3层运行,并基于尝试访问管理控件的站点的IP地址。最低层的ACL在具有MAC地址的第2层工作。默认情况下,这些ACL规则中的每一个都有给定的隐式allow命令。这意味着允许插入的所有内容都使用正确的用户名和密码进行访问。

默认情况下,此隐式允许很重要,因为在设置时,网络运营商能够从任何工作站访问设备都很重要。但是,一旦部署,它就代表了潜在的安全漏洞,可能对组织的网络和收入产生负面影响。这使得配置ACL非常重要,这样不仅可以确保具有正确密码的用户正在登录,而且还可以确保您具有访问权限的计算机正在登录。

ACL的最基本形式是指定允许/拒绝的MAC地址。如果连接在同一广播网络上,或者要允许通过路由器接口进行管理,同时还允许路由器管理有权访问其接口的路由器,则此ACL类型效果很好。 MAC ACL的默认状态是隐式允许具有正确用户名和密码的所有MAC地址访问管理信息。

如果网络运营商仅允许由几台设备配置管理,并且它们都与管理模块位于同一广播域中,则直接将MAC地址输入管理模块是一种非常有效的方法,可确保仅注册用户被允许访问管理界面。一旦输入允许的MAC地址,就会在其下方自动激活一个隐式拒绝语句。这意味着仅允许指定的MAC地址访问管理接口。对于ION管理模块,IONMM必须至少具有一个allow语句,否则将无法通过Web界面或Telnet进行管理。

如果管理模块与管理站位于不同的广播域中,则MAC表将需要使用其路由器接口的MAC地址,因为这是“源” MAC地址将与之关联的地址。如果发生这种情况,默认情况下,任何具有路由器接口访问权限的设备都可以使用正确的用户名和密码访问IONMM的管理接口。可以通过基于IP地址分配ACL来解决此潜在的安全问题。

假设网络管理员拥有三台个人笔记本电脑和两台工作站,它们可用于所有管理应用程序。只需使用许可声明将这五个IP地址输入到IONMM ACL中,就可以使它们分别访问管理提示输入密码。一旦输入了IP地址的“ permit”语句,就会自动输入一个隐式拒绝,以确保只有授权的IP才可以访问管理界面。例如,如果网络运营商希望允许192.168.100.100来管理IONMM,则该运营商无需为每个其他IP地址键入拒绝语句,则在输入allow语句之后,该语句将隐式应用于该接口。可以使用单个命令输入地址的IPv4范围或整个IPv4网络。 IONMM必须至少具有一个allow语句,否则将无法通过Web界面或Telnet访问管理。

 

结论

在本白皮书中,我们介绍了一些安全技术,这些技术已集成到当今的网络元素中,以帮助简化网络管理并提高网络安全性。新的ION平台证明了Transition Networks全心全意地采用了这些措施–交付了以众多新的安全功能和强大的管理框架为基础的下一代智能光网络设备系列。

 

多年来,我已经在客户安装中使用Transition Networks的产品。我一直发现他们的产品,客户服务,销售和技术支持是一流的。我什至不会考虑使用其他品牌。

IT解决方案提供商的高级项目经理

关闭

向分销商索取报价

我们的产品通过我们的全球合作伙伴网络出售。请在下面索取报价,我们的网络专家将协助报价流程,以确保您与合适的合作伙伴一起获得所需的产品和解决方案。

对于超过$2,000的大型项目,我们可以提供特别折扣价
您要处理报价的分销商或转销商的名称。要了解有关您所在地区的合作伙伴的更多信息,请查看我们的 如何购买页面

该产品已成功添加到您的报价中。

点击此处查看您的报价。

您的报价已成功创建!

点击此处查看您的报价。

编辑产品 - 编辑详细资料

您的报价还没有任何产品。

编辑产品 - 编辑详细资料

产品 数量

您的报价还没有任何产品。

您的报价请求已成功提交。

您将很快收到一封确认电子邮件,以方便报价过程。如果您想保存请求的报价, 登录 或者 创建一个帐户.

错误

处理您的报价时出错。请刷新页面,然后重试。

要求报价...
咨询专家