金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上
91手機維修論壇
標題:
如何保護信息安全 防止局域網(wǎng)監聽(tīng)
[打印本頁(yè)]
作者:
極樂(lè )世界
時(shí)間:
2008-10-24 21:25
標題:
如何保護信息安全 防止局域網(wǎng)監聽(tīng)
我們在電視或者電影中經(jīng)常會(huì )看到這樣的情景,間諜或者警察,在某戶(hù)人家的電話(huà)線(xiàn)總線(xiàn)上,拉出一根電話(huà)分線(xiàn),對這個(gè)電話(huà)進(jìn)行切聽(tīng),F在這種方法在網(wǎng)絡(luò )中也逐漸蔓延開(kāi)來(lái)。
由于局域網(wǎng)中采用的是廣播方式,因此在某個(gè)廣播域中(往往是一個(gè)企業(yè)局域網(wǎng)就是一個(gè)廣播域),可以監聽(tīng)到所有的信息報。而非法入侵者通過(guò)對信息包進(jìn)行分析,就能夠非法竊取局域網(wǎng)上傳輸的一些重要信息。如現在很多黑客在入侵時(shí),都會(huì )把局域網(wǎng)稍描與監聽(tīng)作為他們入侵之前的準備工作。因為憑這些方式,他們可以獲得用戶(hù)名、密碼等重要的信息。如現在不少的網(wǎng)絡(luò )管理工具,號稱(chēng)可以監聽(tīng)別人發(fā)送的郵件內容、即時(shí)聊天信息、訪(fǎng)問(wèn)網(wǎng)頁(yè)的內容等等,也是通過(guò)網(wǎng)絡(luò )監聽(tīng)來(lái)實(shí)現的?梢(jiàn),網(wǎng)絡(luò )監聽(tīng)是一把雙刃劍,用到正處,可以幫助我們管理員工的網(wǎng)絡(luò )行為;用的不好,則會(huì )給企業(yè)的網(wǎng)絡(luò )安全以致命一擊。
一、監聽(tīng)的工作原理。
要有效防止局域網(wǎng)的監聽(tīng),則首先需要對局域網(wǎng)監聽(tīng)的工作原理有一定的了解。知己知彼,百戰百勝。只有如此,才能有針對性的提出一些防范措施。
現在企業(yè)局域網(wǎng)中常用的網(wǎng)絡(luò )協(xié)議是“以太網(wǎng)協(xié)議”。而這個(gè)協(xié)議有一個(gè)特點(diǎn),就是某個(gè)主機A如果要發(fā)送一個(gè)主機給B,其不是一對一的發(fā)送,而是會(huì )把數據包發(fā)送給局域網(wǎng)內的包括主機B在內的所有主機。在正常情況下,只有主機B才會(huì )接收這個(gè)數據包。其他主機在收到數據包的時(shí)候,看到這個(gè)數據庫的目的地址跟自己不匹配,就會(huì )把數據包丟棄掉。
但是,若此時(shí)局域網(wǎng)內有臺主機C,其處于監聽(tīng)模式。則這臺數據不管數據包中的IP地址是否跟自己匹配,就會(huì )接收這個(gè)數據包,并把數據內容傳遞給上層進(jìn)行后續的處理。這就是網(wǎng)絡(luò )監聽(tīng)的基本原理。
在以太網(wǎng)內部傳輸數據時(shí),包含主機唯一標識符的物理地址(MAC地址)的幀從網(wǎng)卡發(fā)送到物理的線(xiàn)路上,如網(wǎng)線(xiàn)或者光纖。此時(shí),發(fā)個(gè)某臺特定主機的數據包會(huì )到達連接在這線(xiàn)路上的所有主機。當數據包到達某臺主機后,這臺主機的網(wǎng)卡會(huì )先接收這個(gè)數據包,進(jìn)行檢查。如果這個(gè)數據包中的目的地址跟自己的地址不匹配的話(huà),就會(huì )丟棄這個(gè)包。如果這個(gè)數據包中的目的地址跟自己地址匹配或者是一個(gè)廣播地址的話(huà),就會(huì )把數據包交給上層進(jìn)行后續的處理。在這種工作模式下,若把主機設置為監聽(tīng)模式,則其可以了解在局域網(wǎng)內傳送的所有數據。如果這些數據沒(méi)有經(jīng)過(guò)加密處理的話(huà),那么后果就可想而知了。
二、常見(jiàn)的防范措施。
1、采用加密技術(shù),實(shí)現密文傳輸。
從上面的分析中,我們看到,若把主機設置為監聽(tīng)模式的話(huà),則局域網(wǎng)中傳輸的任何數據都可以被主機所竊聽(tīng)。但是,若竊聽(tīng)者所拿到的數據是被加密過(guò)的,則其即使拿到這個(gè)數據包,也沒(méi)有用處,無(wú)法解密。這就好像電影中的電報,若不知道對應的密碼,則即使獲得電報的信息,對他們來(lái)說(shuō),也是一無(wú)用處。
所以,比較常見(jiàn)的防范局域網(wǎng)監聽(tīng)的方法就是加密。數據經(jīng)過(guò)加密之后,通過(guò)監聽(tīng)仍然可以得到傳送的信息,但是,其顯示的是亂碼。結果是,其即使得到數據,也是一堆亂碼,沒(méi)有多大的用處。
現在針對這種傳輸的加密手段有很多,最常見(jiàn)的如IPSec協(xié)議。Ipsec有三種工作模式,一是必須強制使用,二是接收方要求,三是不采用。當某臺主機A向主機B發(fā)送數據文件的時(shí)候,主機A與主機B是會(huì )先進(jìn)行協(xié)商,其中包括是否需要采用IPSec技術(shù)對數據包進(jìn)行加密。一是必須采用,也就是說(shuō),無(wú)論是主機A還是主機B都必須支持IPSec,否則的話(huà),這個(gè)傳輸將會(huì )以失敗告終。二是請求使用,如在協(xié)商的過(guò)程中,主機A會(huì )問(wèn)主機B,是否需要采用IPSec。若主機B回答不需要采用,則就用明文傳輸,除非主機A的IPSec策略設置的是必須強制使用。若主機B回答的是可以用IPSec加密,則主機A就會(huì )先對數據包進(jìn)行加密,然后再發(fā)送。經(jīng)過(guò)IPSec技術(shù)加密過(guò)的數據,一般很難被破解。而且,重要的是這個(gè)加密、解密的工作對于用戶(hù)來(lái)說(shuō),是透明的。也就是說(shuō),我們網(wǎng)絡(luò )管理員之需要配置好IPSec策略之后,員工不需要額外的動(dòng)作。是否采用IPSec加密、不采用會(huì )有什么結果等等,員工主機之間會(huì )自己進(jìn)行協(xié)商,而不需要我們進(jìn)行額外的控制。
在使用這種加密手段的時(shí)候,唯一需要注意的就是如何設置IPSec策略。也就是說(shuō),什么時(shí)候采用強制加密,說(shuō)明時(shí)候采用可有可無(wú)的。若使用強制加密的情況下,一定要保證通信的雙方都支持IPSec技術(shù),否則的話(huà),就可能會(huì )導致通信的不成功。最懶的方法,就是不管三七二十一,給企業(yè)內的所有電腦都配置IPSec策略。雖然,都會(huì )在增加一定的帶寬,給網(wǎng)絡(luò )帶來(lái)一定的壓力,但是,基本上,這不會(huì )對用戶(hù)產(chǎn)生多大的直接影響;蛘哒f(shuō),他們不能夠直觀(guān)的感受到由于采用了IPSec技術(shù)而造成的網(wǎng)絡(luò )性能減慢。
2、利用路由器等網(wǎng)絡(luò )設備對網(wǎng)絡(luò )進(jìn)行物理分段。
我們從上面的以太網(wǎng)工作原理的分析中可以知道,如果銷(xiāo)售部門(mén)的某位銷(xiāo)售員工發(fā)送給銷(xiāo)售經(jīng)理的一份文件,會(huì )在公司整個(gè)網(wǎng)絡(luò )內進(jìn)行傳送。我們若能夠設計一種方案,可以讓銷(xiāo)售員工的文件直接給銷(xiāo)售經(jīng)理,或者至少只在銷(xiāo)售部門(mén)內部的員工可以收的到的話(huà),那么,就可以很大程度的降低由于網(wǎng)絡(luò )監聽(tīng)所導致的網(wǎng)絡(luò )安全的風(fēng)險。
如我們可以利用路由器來(lái)分離廣播域。若我們銷(xiāo)售部門(mén)跟其他部門(mén)之間不是利用共享式集線(xiàn)器或者普通交換機進(jìn)行連接,而是利用路由器進(jìn)行連接的話(huà),就可以起到很好的防范局域網(wǎng)監聽(tīng)的問(wèn)題。如此時(shí),當銷(xiāo)售員A發(fā)信息給銷(xiāo)售經(jīng)理B的時(shí)候,若不采用路由器進(jìn)行分割,則這份郵件會(huì )分成若干的數據包在企業(yè)整個(gè)局域網(wǎng)內部進(jìn)行傳送。相反,若我們利用路由器來(lái)連接銷(xiāo)售部門(mén)跟其他部門(mén)的網(wǎng)絡(luò ),則數據包傳送到路由器之后,路由器會(huì )檢查數據包的目的IP地址,然后根據這個(gè)IP地址來(lái)進(jìn)行轉發(fā)。此時(shí),就只有對應的IP地址網(wǎng)絡(luò )可以收到這個(gè)數據包,而其他不相關(guān)的路由器接口就不會(huì )收到這個(gè)數據包。很明顯,利用路由器進(jìn)行數據報的預處理,就可以有效的減少數據包在企業(yè)網(wǎng)絡(luò )中傳播的范圍,讓數據包能夠在最小的范圍內傳播。
不過(guò),這個(gè)利用路由器來(lái)分段的話(huà),有一個(gè)不好地地方,就是在一個(gè)小范圍內仍然可能會(huì )造成網(wǎng)絡(luò )監聽(tīng)的情況。如在銷(xiāo)售部門(mén)這個(gè)網(wǎng)絡(luò )內,若有一臺主機被設置為網(wǎng)絡(luò )監聽(tīng),則其雖然不能夠監聽(tīng)到銷(xiāo)售部門(mén)以外的網(wǎng)絡(luò ),但是,對于銷(xiāo)售部門(mén)內部的主機所發(fā)送的數據包,仍然可以進(jìn)行監聽(tīng)。如財務(wù)經(jīng)理發(fā)送一份客戶(hù)的應手帳款余額表給銷(xiāo)售經(jīng)理的話(huà),有路由器轉發(fā)到銷(xiāo)售部門(mén)的網(wǎng)絡(luò )后,這個(gè)數據包仍然會(huì )到達銷(xiāo)售部門(mén)網(wǎng)絡(luò )內地任一主機。如此的話(huà),只要銷(xiāo)售網(wǎng)絡(luò )中有一臺網(wǎng)絡(luò )主機被設置為監聽(tīng),就仍然可以竊聽(tīng)到其所需要的信息。不過(guò)若財務(wù)經(jīng)理發(fā)送這份文件給總經(jīng)理,由于總經(jīng)理的網(wǎng)段不在銷(xiāo)售部門(mén)的網(wǎng)段,所以數據包不會(huì )傳送給財務(wù)部門(mén)所在的網(wǎng)絡(luò )段,則銷(xiāo)售部門(mén)中的偵聽(tīng)主機就不能夠偵聽(tīng)到這些信息了。
另外,采用路由器進(jìn)行網(wǎng)絡(luò )分段外,還有一個(gè)好的副作用,就是可以減輕網(wǎng)絡(luò )帶寬的壓力。若數據包在這個(gè)網(wǎng)絡(luò )內進(jìn)行傳播的話(huà),會(huì )給網(wǎng)絡(luò )帶來(lái)比較大的壓力。相反,通過(guò)路由器進(jìn)行網(wǎng)絡(luò )分段,從而把數據包控制在一個(gè)比較小的范圍之內,那么顯然可以節省網(wǎng)絡(luò )帶寬,提高網(wǎng)絡(luò )的性能。特別是企業(yè)在遇到DDOS等類(lèi)似攻擊的時(shí)候,可以減少其危害性。
3、利用虛擬局域網(wǎng)實(shí)現網(wǎng)絡(luò )分段。
我們不僅可以利用路由器這種網(wǎng)絡(luò )硬件來(lái)實(shí)現網(wǎng)絡(luò )分段。但是,這畢竟需要企業(yè)購買(mǎi)路由器設備。其實(shí),我們也可以利用一些交換機實(shí)現網(wǎng)絡(luò )分段的功能。如有些交換機支持虛擬局域網(wǎng)技術(shù),就可以利用它來(lái)實(shí)現網(wǎng)絡(luò )分段,減少網(wǎng)絡(luò )偵聽(tīng)的可能性。
虛擬局域網(wǎng)的分段作用跟路由器類(lèi)似,可以把企業(yè)的局域網(wǎng)分割成一個(gè)個(gè)的小段,讓數據包在小段內傳輸,將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)的通信,從而可以防止大部分網(wǎng)絡(luò )監聽(tīng)的入侵。
不過(guò),這畢竟還是通過(guò)網(wǎng)絡(luò )分段來(lái)防止網(wǎng)絡(luò )監聽(tīng),所以,其也有上面所說(shuō)的利用路由器來(lái)實(shí)現這個(gè)需求的缺點(diǎn),就是只能夠減少網(wǎng)絡(luò )監聽(tīng)入侵的幾率。在某個(gè)網(wǎng)段內,仍然不能夠有效避免網(wǎng)絡(luò )監聽(tīng)。
所以,比較好的方法,筆者還是推薦采用加密技術(shù)來(lái)防止網(wǎng)絡(luò )監聽(tīng)給企業(yè)所帶來(lái)的危害,特別似乎防止用戶(hù)名、密碼等關(guān)鍵信息被竊聽(tīng)
作者:
冠軍賽
時(shí)間:
2008-10-25 19:21
比較好的方法
歡迎光臨 91手機維修論壇 (http://www.jstransmit.com/)
Powered by Discuz! X3.4
穆棱市
|
平安县
|
巴中市
|
加查县
|
长治县
|
阳江市
|
双柏县
|
崇左市
|
资兴市
|
宿州市
|
宝应县
|
读书
|
甘洛县
|
巢湖市
|
西宁市
|
桐城市
|
黄龙县
|
阿鲁科尔沁旗
|
乌审旗
|
高密市
|
兴和县
|
张北县
|
巩留县
|
土默特左旗
|
光泽县
|
寻乌县
|
太仓市
|
萝北县
|
岱山县
|
青龙
|
黔江区
|
汶上县
|
温泉县
|
上饶市
|
永靖县
|
克东县
|
扶沟县
|
大方县
|
日土县
|
五指山市
|
德江县
|