回到頂部

Transition Networks 由 Lantronix, Inc. 全資擁有。

Transition Networks

網絡安全:身份驗證為何如此重要

對於大多數組織來說,物理安全是必須的。無論是視頻監視,訪問控制,運動檢測器還是警報;商業企業已經接受了保護其財產和資產的概念。隨著越來越多的業務通過Internet進行,並且用戶正在遠程登錄公司網絡,網絡安全和保護知識資產的重要性急劇上升。

網絡安全的目的是保護網絡及其元素免受未經授權的訪問破壞,這些破壞可能導致數據,收入和/或生產力的損失。本白皮書將討論網絡設備中當前正在採用的一些安全措施,以限制來自惡意用戶的滲透以及可能破壞電子內容的行為。

 

什麼是HTTPS,SSL和SSH?

像護照或駕駛執照一樣,SSL證書或SSH密鑰由受信任的來源(稱為證書頒發機構(CA))頒發。許多CA將通過頒發包含公共密鑰和所有者身份的數字證書來驗證域名和您對域名的所有權是否存在。該證書也是CA的證明,證明證書中包含的公鑰屬於證書中註明的個人,組織,服務器或其他實體。

HTTPS代表安全超文本傳輸協議。它是服務器軟件,具有“保護”在萬維網(www)上進行的交易的功能。如果網站運行的不是HTTPS服務器,則可以在瀏覽器的URL部分中輸入HTTPS而不是HTTP,以進入“安全模式”。金融機構通常會提供HTTPS來支持其在線銀行產品,以驗證PC和服務器之間傳遞的信息是“安全的”。

SSL代表安全套接字層,是一種基於標準的加密方法,可使HTTPS安全運行。 SSL被廣泛實施以幫助保護互聯網交易,並且是大多數金融機構通過網絡開展業務的首選方式。它特別基於認證的公鑰證書,該證書使用自行生成的私鑰和密碼。希望實施SSL的組織可以從一些證書頒發機構(CA)購買公共證書,例如:VeriSign,Comodo和Go Daddy。

例如,為了建立從個人計算機到在線銀行服務器的SSL連接,個人計算機要求連接並公佈其能夠使用的加密方法。銀行服務器將選擇兩個組件都能夠使用的最高加密方法,然後以其名稱,提供密鑰的證書頒發機構和公共加密密鑰作為響應。此時,客戶可以聯繫證書頒發機構以驗證密鑰的真實性。個人計算機將通過以下方式做出響應:隨機生成一個數字,使用銀行服務器提供的公共密鑰對隨機數字進行加密,然後重新傳輸到銀行服務器。此時,唯一應該能夠解密消息的設備是使用其私鑰的銀行服務器。這將在兩個網絡組件之間啟動一個唯一的“會話”,對在它們之間傳遞的信息進行加密。

SSH的工作方式與SSL非常相似,但它涵蓋OSI模型的不同層,以便兩次加密交換的數據。建立物理連接後,第一次加密將在OSI模型的傳輸層進行。此時,使用大多數設備可以生成的公共密鑰對連接進行身份驗證。這種對公共密鑰的驗證創建了一個128位加密,該加密允許通過客戶端和服務器之間的加密消息來提供登錄名和密碼。驗證密碼後,將創建一個唯一的會話,並使用私鑰對該會話進行數字簽名並再次對其進行加密,這一次是在OSI模型的會話層進行的。

在SSH系統受到攻擊的情況下,攻擊者必須中斷第一個128位加密才能截獲密碼,然後攻擊者必須侵入私鑰,該私鑰是一個非常長的數字序列,用於“模擬”會話。否則,如果它們已登錄(即使與“您”恰好在同一時間),則將使用不同的私鑰ID對會話進行數字簽名,從而驗證每個會話的來源。

Transition Networks的許多較新模型,例如ION Chassis,SM24-1000SFP-AH和SM24-100SFP-AH都帶有安全套接字層(SSL)和安全外殼(SSH)端接,以實現端到端的安全性。

 

什麼是RADIUS?為什麼網絡管理器會使用ION管理模塊(IONMM)來實現它?

RADIUS是首字母縮寫詞,代表“遠程身份驗證撥入用戶服務”,該服務是一種網絡協議,旨在幫助集中管理身份驗證過程。 RADIUS已被服務提供商廣泛採用,以限制需要在每個網絡元素上實施的管理規則的數量。 RADIUS協議旨在以客戶端到服務器的關係運行。這意味著所有身份驗證規則和監視都在一個或多個中央服務器上完成,並且每個客戶端將在允許對客戶端進行任何管理之前訪問這些規則。

想像一下,您是一家大型服務提供商的網絡架構師,該提供商具有20,000個網絡元素(交換機,路由器,NID等),並且有50個管理站具有對管理網絡的授權訪問權。每個管理站可能具有不同的授權級別(即,便攜式計算機A可能能夠讀取/寫入NID和訪問開關,但可能僅具有對核心設備的讀取訪問權限)。在使用RADIUS之前,每個網絡元素都需要使用規則進行編程,每個新的網絡元素也需要使用規則進行編程。對於RADIUS服務器,規則位於一個位置,並且每個客戶端設備實際上都從該服務器“學習”規則。

對於RADIUS應用程序,ION管理模塊(IONMM)的作用類似於網絡訪問服務器,因為用戶將向IONMM發送管理請求,並將請求直接轉發到RADIUS服務器進行身份驗證和授權。此功能將幫助網絡管理員確保僅授權人員訪問IONMM管理信息,而不必擔心在其網絡中部署的所有IONMM上安裝規則。它還可以確保,如果不信任的用戶要訪問ION管理模塊,則該用戶將不必訪問所有網絡規則和身份驗證代碼,而不必深入研究網絡。

Transition Networks的許多模型,例如ION Chassis,SM24-1000SFP-AH和SM24-100SFP-AH都內置了RADIUS。

 

什麼是ACL規則,它賦予/阻止訪問什麼?

從字面上看,訪問控制列表(ACL)是一個允許或拒絕對網絡設備進行訪問的列表。就ION管理模塊(IONMM)而言,最好以沒有中間立場的“允許”或“拒絕”語句來考慮訪問控制列表。您要么被允許進入,要么您被限制在外。

對於IONMM,訪問控制列表用於控制對ION機箱管理的訪問,並隨後對對插入該機箱的卡的管理接口的訪問進行控制。 IONMM具有三層訪問控制列表。就OSI模型而言,IONMM的最高層訪問控制列表位於第4層。在第4層,IONMM可以基於UDP端口,TCP端口或ICMP類型過濾訪問。該過濾器基於可能試圖獲取對管理接口的訪問的傳輸協議的類型來授予或拒絕訪問。訪問控制的下一個最高層在第3層運行,並基於嘗試訪問管理控件的站點的IP地址。最低層的ACL在具有MAC地址的第2層工作。默認情況下,這些ACL規則中的每一個都有給定的隱式allow命令。這意味著允許插入的所有內容都使用正確的用戶名和密碼進行訪問。

默認情況下,此隱式允許很重要,因為在設置時,網絡運營商能夠從任何工作站訪問設備都很重要。但是,一旦部署,它就代表了潛在的安全漏洞,可能對組織的網絡和收入產生負面影響。這使得配置ACL非常重要,這樣不僅可以確保具有正確密碼的用戶正在登錄,而且還可以確保您具有訪問權限的計算機正在登錄。

ACL的最基本形式是指定允許/拒絕的MAC地址。如果連接在同一廣播網絡上,或者要允許通過路由器接口進行管理,同時還允許路由器管理有權訪問其接口的路由器,則此ACL類型效果很好。 MAC ACL的默認狀態是隱式允許具有正確用戶名和密碼的所有MAC地址訪問管理信息。

如果網絡運營商僅允許由幾台設備配置管理,並且它們都與管理模塊位於同一廣播域中,則直接將MAC地址輸入管理模塊是一種非常有效的方法,可確保僅註冊用戶被允許訪問管理界面。一旦輸入允許的MAC地址,就會在其下方自動激活一個隱式拒絕語句。這意味著僅允許指定的MAC地址訪問管理接口。對於ION管理模塊,IONMM必須至少具有一個allow語句,否則將無法通過Web界面或Telnet進行管理。

如果管理模塊與管理站位於不同的廣播域中,則MAC表將需要使用其路由器接口的MAC地址,因為這是“源” MAC地址將與之關聯的地址。如果發生這種情況,默認情況下,任何具有路由器接口訪問權限的設備都可以使用正確的用戶名和密碼訪問IONMM的管理接口。可以通過基於IP地址分配ACL來解決此潛在的安全問題。

假設網絡管理員擁有三台個人筆記本電腦和兩台工作站,它們可用於所有管理應用程序。只需使用許可聲明將這五個IP地址輸入到IONMM ACL中,就可以使它們分別訪問管理提示輸入密碼。一旦輸入了IP地址的“ permit”語句,就會自動輸入一個隱式拒絕,以確保只有授權的IP才可以訪問管理界面。例如,如果網絡運營商想要允許192.168.100.100來管理IONMM,則該運營商無需為每個其他IP地址鍵入一個拒絕語句,則在輸入allow語句後,它將隱式地應用於該接口。可以使用單個命令輸入地址的IPv4範圍或整個IPv4網絡。 IONMM必須至少具有一個allow語句,否則將無法通過Web界面或Telnet訪問管理。

 

結論

在本白皮書中,我們介紹了一些安全技術,這些技術已集成到當今的網絡元素中,以幫助簡化網絡管理並提高網絡安全性。新的ION平台證明了Transition Networks全心全意地採用了這些措施–交付了以眾多新的安全功能和強大的管理框架為基礎的下一代智能光網絡設備系列。

 

多年來,我已經在客戶安裝中使用Transition Networks的產品。我一直發現他們的產品,客戶服務,銷售和技術支持是一流的。我什至不會考慮使用其他品牌。

IT解決方案提供商的高級項目經理

關閉

向分銷商索取報價

我們的產品通過我們的全球合作夥伴網絡出售。請在下面索取報價,我們的網絡專家將協助報價流程,以確保您與合適的合作夥伴一起獲得所需的產品和解決方案。

對於超過$2,000的大型項目,我們可以提供特別折扣價
您要處理報價的分銷商或轉銷商的名稱。要了解有關您所在地區的合作夥伴的更多信息,請查看我們的 如何購買頁面

該產品已成功添加到您的報價中。

點擊此處查看您的報價。

您的報價已成功創建!

點擊此處查看您的報價。

編輯產品 - 編輯詳細資料

您的報價還沒有任何產品。

編輯產品 - 編輯詳細資料

產品 數量

您的報價還沒有任何產品。

您的報價請求已成功提交。

您將很快收到一封確認電子郵件,以方便報價過程。如果您想保存請求的報價, 登錄 或者 創建一個帳戶.

錯誤

處理您的報價時出錯。請刷新頁面,然後重試。

要求報價...
諮詢專家