作者: 江培文 / 臺灣大學計算機及資訊網路中心資訊網路組研究助理
簡單網路管理協定不僅為網路設備管理時重要的通訊協定之一,亦可運用於無線網路用以偵測惡意無線基地台,網路管理人員依據偵測結果即時加以隔離處置,避免內部重要資訊洩漏或遭受外部蓄意攻擊,以維護資訊安全。
緣起
簡單網路管理協定(Simple Network Management Protocol; SNMP)是由IETF (Internet Engineering Task Force)所定義,用以管理網路設備之通訊協定。使用SNMP管理的網路主要由3個元件所組成:
1.網路管理系統(Network Management System)為安裝於管理端(Manager)的軟體,用以向代理者查詢被管理裝置的相關資訊。
2.被管理裝置(Managed Device)是指網路中被監控的設備節點。
3.代理者(Agent)為安裝於被管理裝置的軟體,負責監控及回傳被監控設備的相關資訊。
SNMP Agent是以變數方式呈現被管理裝置的相關資訊,每個變數皆有其唯一的物件識別碼(Object Identifier; OID),而OID是以階層方式被描述於管理資訊庫(Management Information Base; MIB),例如OID為1.3.6.1.4.1.9代表Cisco公司。
圖1. MIB階層架構 (資料來源)
SNMP協定的原理及演進
SNMP是運作於OSI模型之應用層,管理端經由UDP傳送request至代理者(port 161),代理者透過來源埠傳送response至管理端。此外,當被監控設備發生異常事件時,例如cold start或link down,代理者可經由UDP主動傳送notification至管理端(port 162)。
管理端一方面可經由Get、GetNext或GetBulk指令向代理者擷取被監控設備的相關資訊,另一方面亦可透過代理者經由Trap或Inform指令主動傳送資料。此外,管理端使用Set指令以達到系統管理之目的。
相較於SNMP version 1,SNMP version 2主要是增加SNMP在位元串(bit string)、網路位址(network address)及計數器(counter)之功能;而SNMPv3是基於SNMPv2,進而增加訊息安全(message security)及存取控制(access control)等功能。
圖2. SNMP通訊架構 (資料來源)
SNMP協定的資安應用
惡意無線基地台(Rogue Acces Point)是指在網路管理員未知情且未予以授權之情況下,逕自將Acces Point (AP)私接於組織內部有線網路以提供或使用無線網路服務,因此惡意無線基地台對於企業組織來說,形成一個安全威脅的嚴重問題。舉例而言,若有惡意無線基地台連結至公司內部網路,且該惡意無線基地台並無相關使用者認證設定,如同形成一個繞過安全管控機制而進入公司內部網路的節點,讓公司內部或外部鄰近該惡意無線基地台的人員得以於訊號範圍內任意存取公司內部網路資源。因此,偵測惡意無線基地台及限制使用者存取,實乃組織單位必須加以重視的課題。
無線網路控制器(Controller)可以經由簡單網路管理協定(SNMP)來輪詢(polling)無線基地台並經由回傳的物件識別碼(OID)來偵測惡意無線基地台的存在。一但發現惡意無線基地台存在,網路管理員可經由無線網路控制器一方面可以阻止正常用戶和惡意無線基地台建立連線,另一方面亦不會影響正常用戶和合法無線基地台之通訊行為,隔離過程可以持續至網路管理員將惡意無線基地台實際從網路中移除。
小結
簡單網路管理協定一方面不僅可使用於網路設備之日常維運作業,亦可提供網路維運人員即時監控設備異常事件發生及因應處理。另一方面,對於資安事件層出不窮,資安議題重要性與日俱增,應用簡單網路管理協定於無線網路,網路管理員可以偵測出惡意無線基地台,並即時加以隔離處置,避免內部重要資訊洩漏或遭受外部蓄意攻擊,以確保及維持部門單位之資訊安全。
參考資料