如何保護信息安全 防止局域網(wǎng)監聽(tīng)

我們在電視或者電影中經(jīng)常會(huì )看到這樣的情景，間諜或者警察，在某戶(hù)人家的電話(huà)線(xiàn)總線(xiàn)上，拉出一根電話(huà)分線(xiàn)，對這個(gè)電話(huà)進(jìn)行切聽(tīng)�，F在這種方法在網(wǎng)絡(luò )中也逐漸蔓延開(kāi)來(lái)。

　　由于局域網(wǎng)中采用的是廣播方式，因此在某個(gè)廣播域中（往往是一個(gè)企業(yè)局域網(wǎng)就是一個(gè)廣播域），可以監聽(tīng)到所有的信息報。而非法入侵者通過(guò)對信息包進(jìn)行分析，就能夠非法竊取局域網(wǎng)上傳輸的一些重要信息。如現在很多黑客在入侵時(shí)，都會(huì )把局域網(wǎng)稍描與監聽(tīng)作為他們入侵之前的準備工作。因為憑這些方式，他們可以獲得用戶(hù)名、密碼等重要的信息。如現在不少的網(wǎng)絡(luò )管理工具，號稱(chēng)可以監聽(tīng)別人發(fā)送的郵件內容、即時(shí)聊天信息、訪(fǎng)問(wèn)網(wǎng)頁(yè)的內容等等，也是通過(guò)網(wǎng)絡(luò )監聽(tīng)來(lái)實(shí)現的�？梢�(jiàn)，網(wǎng)絡(luò )監聽(tīng)是一把雙刃劍，用到正處，可以幫助我們管理員工的網(wǎng)絡(luò )行為；用的不好，則會(huì )給企業(yè)的網(wǎng)絡(luò )安全以致命一擊。

　　一、監聽(tīng)的工作原理。

　　要有效防止局域網(wǎng)的監聽(tīng)，則首先需要對局域網(wǎng)監聽(tīng)的工作原理有一定的了解。知己知彼，百戰百勝。只有如此，才能有針對性的提出一些防范措施。

　　現在企業(yè)局域網(wǎng)中常用的網(wǎng)絡(luò )協(xié)議是“以太網(wǎng)協(xié)議”。而這個(gè)協(xié)議有一個(gè)特點(diǎn)，就是某個(gè)主機A如果要發(fā)送一個(gè)主機給B，其不是一對一的發(fā)送，而是會(huì )把數據包發(fā)送給局域網(wǎng)內的包括主機B在內的所有主機。在正常情況下，只有主機B才會(huì )接收這個(gè)數據包。其他主機在收到數據包的時(shí)候，看到這個(gè)數據庫的目的地址跟自己不匹配，就會(huì )把數據包丟棄掉。

　　但是，若此時(shí)局域網(wǎng)內有臺主機C，其處于監聽(tīng)模式。則這臺數據不管數據包中的IP地址是否跟自己匹配，就會(huì )接收這個(gè)數據包，并把數據內容傳遞給上層進(jìn)行后續的處理。這就是網(wǎng)絡(luò )監聽(tīng)的基本原理。

　　在以太網(wǎng)內部傳輸數據時(shí)，包含主機唯一標識符的物理地址（MAC地址）的幀從網(wǎng)卡發(fā)送到物理的線(xiàn)路上，如網(wǎng)線(xiàn)或者光纖。此時(shí)，發(fā)個(gè)某臺特定主機的數據包會(huì )到達連接在這線(xiàn)路上的所有主機。當數據包到達某臺主機后，這臺主機的網(wǎng)卡會(huì )先接收這個(gè)數據包，進(jìn)行檢查。如果這個(gè)數據包中的目的地址跟自己的地址不匹配的話(huà)，就會(huì )丟棄這個(gè)包。如果這個(gè)數據包中的目的地址跟自己地址匹配或者是一個(gè)廣播地址的話(huà)，就會(huì )把數據包交給上層進(jìn)行后續的處理。在這種工作模式下，若把主機設置為監聽(tīng)模式，則其可以了解在局域網(wǎng)內傳送的所有數據。如果這些數據沒(méi)有經(jīng)過(guò)加密處理的話(huà)，那么后果就可想而知了。

　　二、常見(jiàn)的防范措施。

　　1、采用加密技術(shù)，實(shí)現密文傳輸。

　　從上面的分析中，我們看到，若把主機設置為監聽(tīng)模式的話(huà)，則局域網(wǎng)中傳輸的任何數據都可以被主機所竊聽(tīng)。但是，若竊聽(tīng)者所拿到的數據是被加密過(guò)的，則其即使拿到這個(gè)數據包，也沒(méi)有用處，無(wú)法解密。這就好像電影中的電報，若不知道對應的密碼，則即使獲得電報的信息，對他們來(lái)說(shuō)，也是一無(wú)用處。

　　所以，比較常見(jiàn)的防范局域網(wǎng)監聽(tīng)的方法就是加密。數據經(jīng)過(guò)加密之后，通過(guò)監聽(tīng)仍然可以得到傳送的信息，但是，其顯示的是亂碼。結果是，其即使得到數據，也是一堆亂碼，沒(méi)有多大的用處。

　　現在針對這種傳輸的加密手段有很多，最常見(jiàn)的如IPSec協(xié)議。Ipsec有三種工作模式，一是必須強制使用，二是接收方要求，三是不采用。當某臺主機A向主機B發(fā)送數據文件的時(shí)候，主機A與主機B是會(huì )先進(jìn)行協(xié)商，其中包括是否需要采用IPSec技術(shù)對數據包進(jìn)行加密。一是必須采用，也就是說(shuō)，無(wú)論是主機A還是主機B都必須支持IPSec，否則的話(huà)，這個(gè)傳輸將會(huì )以失敗告終。二是請求使用，如在協(xié)商的過(guò)程中，主機A會(huì )問(wèn)主機B，是否需要采用IPSec。若主機B回答不需要采用，則就用明文傳輸，除非主機A的IPSec策略設置的是必須強制使用。若主機B回答的是可以用IPSec加密，則主機A就會(huì )先對數據包進(jìn)行加密，然后再發(fā)送。經(jīng)過(guò)IPSec技術(shù)加密過(guò)的數據，一般很難被破解。而且，重要的是這個(gè)加密、解密的工作對于用戶(hù)來(lái)說(shuō)，是透明的。也就是說(shuō)，我們網(wǎng)絡(luò )管理員之需要配置好IPSec策略之后，員工不需要額外的動(dòng)作。是否采用IPSec加密、不采用會(huì )有什么結果等等，員工主機之間會(huì )自己進(jìn)行協(xié)商，而不需要我們進(jìn)行額外的控制。

　　在使用這種加密手段的時(shí)候，唯一需要注意的就是如何設置IPSec策略。也就是說(shuō)，什么時(shí)候采用強制加密，說(shuō)明時(shí)候采用可有可無(wú)的。若使用強制加密的情況下，一定要保證通信的雙方都支持IPSec技術(shù)，否則的話(huà)，就可能會(huì )導致通信的不成功。最懶的方法，就是不管三七二十一，給企業(yè)內的所有電腦都配置IPSec策略。雖然，都會(huì )在增加一定的帶寬，給網(wǎng)絡(luò )帶來(lái)一定的壓力，但是，基本上，這不會(huì )對用戶(hù)產(chǎn)生多大的直接影響�；蛘哒f(shuō)，他們不能夠直觀(guān)的感受到由于采用了IPSec技術(shù)而造成的網(wǎng)絡(luò )性能減慢。

　　2、利用路由器等網(wǎng)絡(luò )設備對網(wǎng)絡(luò )進(jìn)行物理分段。

　　我們從上面的以太網(wǎng)工作原理的分析中可以知道，如果銷(xiāo)售部門(mén)的某位銷(xiāo)售員工發(fā)送給銷(xiāo)售經(jīng)理的一份文件，會(huì )在公司整個(gè)網(wǎng)絡(luò )內進(jìn)行傳送。我們若能夠設計一種方案，可以讓銷(xiāo)售員工的文件直接給銷(xiāo)售經(jīng)理，或者至少只在銷(xiāo)售部門(mén)內部的員工可以收的到的話(huà)，那么，就可以很大程度的降低由于網(wǎng)絡(luò )監聽(tīng)所導致的網(wǎng)絡(luò )安全的風(fēng)險。

　　如我們可以利用路由器來(lái)分離廣播域。若我們銷(xiāo)售部門(mén)跟其他部門(mén)之間不是利用共享式集線(xiàn)器或者普通交換機進(jìn)行連接，而是利用路由器進(jìn)行連接的話(huà)，就可以起到很好的防范局域網(wǎng)監聽(tīng)的問(wèn)題。如此時(shí)，當銷(xiāo)售員A發(fā)信息給銷(xiāo)售經(jīng)理B的時(shí)候，若不采用路由器進(jìn)行分割，則這份郵件會(huì )分成若干的數據包在企業(yè)整個(gè)局域網(wǎng)內部進(jìn)行傳送。相反，若我們利用路由器來(lái)連接銷(xiāo)售部門(mén)跟其他部門(mén)的網(wǎng)絡(luò )，則數據包傳送到路由器之后，路由器會(huì )檢查數據包的目的IP地址，然后根據這個(gè)IP地址來(lái)進(jìn)行轉發(fā)。此時(shí)，就只有對應的IP地址網(wǎng)絡(luò )可以收到這個(gè)數據包，而其他不相關(guān)的路由器接口就不會(huì )收到這個(gè)數據包。很明顯，利用路由器進(jìn)行數據報的預處理，就可以有效的減少數據包在企業(yè)網(wǎng)絡(luò )中傳播的范圍，讓數據包能夠在最小的范圍內傳播。

　　不過(guò)，這個(gè)利用路由器來(lái)分段的話(huà)，有一個(gè)不好地地方，就是在一個(gè)小范圍內仍然可能會(huì )造成網(wǎng)絡(luò )監聽(tīng)的情況。如在銷(xiāo)售部門(mén)這個(gè)網(wǎng)絡(luò )內，若有一臺主機被設置為網(wǎng)絡(luò )監聽(tīng)，則其雖然不能夠監聽(tīng)到銷(xiāo)售部門(mén)以外的網(wǎng)絡(luò )，但是，對于銷(xiāo)售部門(mén)內部的主機所發(fā)送的數據包，仍然可以進(jìn)行監聽(tīng)。如財務(wù)經(jīng)理發(fā)送一份客戶(hù)的應手帳款余額表給銷(xiāo)售經(jīng)理的話(huà)，有路由器轉發(fā)到銷(xiāo)售部門(mén)的網(wǎng)絡(luò )后，這個(gè)數據包仍然會(huì )到達銷(xiāo)售部門(mén)網(wǎng)絡(luò )內地任一主機。如此的話(huà)，只要銷(xiāo)售網(wǎng)絡(luò )中有一臺網(wǎng)絡(luò )主機被設置為監聽(tīng)，就仍然可以竊聽(tīng)到其所需要的信息。不過(guò)若財務(wù)經(jīng)理發(fā)送這份文件給總經(jīng)理，由于總經(jīng)理的網(wǎng)段不在銷(xiāo)售部門(mén)的網(wǎng)段，所以數據包不會(huì )傳送給財務(wù)部門(mén)所在的網(wǎng)絡(luò )段，則銷(xiāo)售部門(mén)中的偵聽(tīng)主機就不能夠偵聽(tīng)到這些信息了。

　　另外，采用路由器進(jìn)行網(wǎng)絡(luò )分段外，還有一個(gè)好的副作用，就是可以減輕網(wǎng)絡(luò )帶寬的壓力。若數據包在這個(gè)網(wǎng)絡(luò )內進(jìn)行傳播的話(huà)，會(huì )給網(wǎng)絡(luò )帶來(lái)比較大的壓力。相反，通過(guò)路由器進(jìn)行網(wǎng)絡(luò )分段，從而把數據包控制在一個(gè)比較小的范圍之內，那么顯然可以節省網(wǎng)絡(luò )帶寬，提高網(wǎng)絡(luò )的性能。特別是企業(yè)在遇到DDOS等類(lèi)似攻擊的時(shí)候，可以減少其危害性。

　　3、利用虛擬局域網(wǎng)實(shí)現網(wǎng)絡(luò )分段。

　　我們不僅可以利用路由器這種網(wǎng)絡(luò )硬件來(lái)實(shí)現網(wǎng)絡(luò )分段。但是，這畢竟需要企業(yè)購買(mǎi)路由器設備。其實(shí)，我們也可以利用一些交換機實(shí)現網(wǎng)絡(luò )分段的功能。如有些交換機支持虛擬局域網(wǎng)技術(shù)，就可以利用它來(lái)實(shí)現網(wǎng)絡(luò )分段，減少網(wǎng)絡(luò )偵聽(tīng)的可能性。

　　虛擬局域網(wǎng)的分段作用跟路由器類(lèi)似，可以把企業(yè)的局域網(wǎng)分割成一個(gè)個(gè)的小段，讓數據包在小段內傳輸，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)的通信，從而可以防止大部分網(wǎng)絡(luò )監聽(tīng)的入侵。

　　不過(guò)，這畢竟還是通過(guò)網(wǎng)絡(luò )分段來(lái)防止網(wǎng)絡(luò )監聽(tīng)，所以，其也有上面所說(shuō)的利用路由器來(lái)實(shí)現這個(gè)需求的缺點(diǎn)，就是只能夠減少網(wǎng)絡(luò )監聽(tīng)入侵的幾率。在某個(gè)網(wǎng)段內，仍然不能夠有效避免網(wǎng)絡(luò )監聽(tīng)。

　　所以，比較好的方法，筆者還是推薦采用加密技術(shù)來(lái)防止網(wǎng)絡(luò )監聽(tīng)給企業(yè)所帶來(lái)的危害，特別似乎防止用戶(hù)名、密碼等關(guān)鍵信息被竊聽(tīng)

比較好的方法