返回列表 回復 發帖

局域網安全設置的幾大技巧

1.網路分段

網路分段通常被認為是控制網路廣播風暴的一種基本手段,但其實也是保證網路安全的一項重要措施。其目的就是將非法用戶與敏感的網路資源相互隔離,從而防止可能的非法偵聽,網路分段可分為物理分段和邏輯分段兩種方式。

目前,海關的局域網大多採用以交換機為中心、路由器為邊界的網路格局,應重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對局域網的安全控制。例如:在海關系統中普遍使用的DEC MultiSwitch 900的入侵檢測功能,其實就是一種基於MAC地址的訪問控制,也就是上述的基於資料鏈路層的物理分段。

2.以交換式集線器代替共用式集線器

對局域網的中心交換機進行網路分段後,以太網偵聽的危險仍然存在。這是因為網路最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共用式集線器。這樣,當用戶與主機進行數據通信時,兩臺機器之間的數據包(稱為單播包Unicast Packet)還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機上,由於TELNET程式本身缺乏加密功能,用戶所鍵入的每一個字元(包括用戶名、密碼等重要資訊),都將被明文發送,這就給駭客提供了機會。 因此,應該以交換式集線器代替共用式集線器,使單播包僅在兩個節點之間傳送,從而防止非法偵聽。當然,交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,廣播包和多播包內的關鍵資訊,要遠遠少於單播包。

3.VLAN的劃分

為了克服以太網的廣播問題,除了上述方法外,還可以運用VLAN(虛擬局域網)技術,將以太網通信變為點到點通信,防止大部分基於網路偵聽的入侵。

目前的VLAN技術主要有三種:基於交換機端口的VLAN、基於節點MAC地址的VLAN和基於應用協議的VLAN。基於端口的VLAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎。基於MAC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基於協議的VLAN,理論上非常理想,但實際應用卻尚不成熟。

在集中式網路環境下,我們通常將中心的所有主機系統集中到一個VLAN裏,在這個VLAN裏不允許有任何用戶節點,從而較好地保護敏感的主機資源。在分佈式網路環境下,我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有伺服器和用戶節點都在各自的VLAN內,互不侵擾。

VLAN內部的連接採用交換實現,而VLAN與VLAN之間的連接則採用路由實現。目前,大多數的交換機(包括海關內部普遍採用的DEC MultiSwitch 900)都支持RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要,必須使用其他路由協議(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太網口路由器來代替交換機,實現VLAN之間的路由功能。當然,這種情況下,路由轉發的效率會有所下降。

無論是交換式集線器還是VLAN交換機,都是以交換技術為核心,它們在控制廣播、防止駭客上相當有效,但同時也給一些基於廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此,如果局域網記憶體在這樣的入侵監控設備或協議分析設備,就必須選用特殊的帶有SPAN(Switch Port Analyzer)功能的交換機。這種交換機允許系統管理員將全部或某些交換端口的數據包映射到指定的端口上,提供給接在這一端口上的入侵監控設備或協議分析設備。筆者在廈門海關外部網設計中,就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機,既得到了交換技術的好處,又使原有的Sniffer協議分析儀“英雄有用武之地”。

廣域網安全

由於廣域網大多採用公網來進行數據傳輸,資訊在廣域網上傳輸時被截取和利用的可能性就比局域網要大得多。如果沒有專用的軟體對數據進行控制,只要使用Internet上免費下載的“包檢測”工具軟體,就可以很容易地對通信數據進行截取和破譯。

因此,必須採取手段,使得在廣域網上發送和接收資訊時能夠保證:

?除了發送方和接收方外,其他人是無法知悉的(隱私性);

?傳輸過程中不被篡改(真實性);

?發送方能確知接收方不是假冒的(非偽裝性);

?發送方不能否認自己的發送行為(不可抵賴性)。

為了達到以上安全目的,廣域網通常採用以下安全解決辦法: 1.加密技術

加密型網路安全技術的基本思想是不依賴於網路中數據通道的安全性來實現網路系統的安全,而是通過對網路數據的加密來保障網路的安全可靠性。數據加密技術可以分為三類,即對稱型加密、不對稱型加密和不可逆加密。

其中不可逆加密演算法不存在密鑰保管和分發問題,適用於分佈式網路系統,但是其加密計算量相當可觀,所以通常用於數據量有限的情形下使用。電腦系統中的口令就是利用不可逆加密演算法加密的。近年來,隨著電腦系統性能的不斷提高,不可逆加密演算法的應用逐漸增加,常用的如RSA公司的MD5和美國國家標準局的SHS。在海關系統中廣泛使用的Cisco路由器,有兩種口令加密方式:Enable Secret和Enable Password。其中,Enable Secret就採用了MD5不可逆加密演算法,因而目前尚未發現破解方法(除非使用字典攻擊法)。而Enable Password則採用了非常脆弱的加密演算法(即簡單地將口令與一個常數進行XOR與或運算),目前至少已有兩種破解軟體。因此,最好不用Enable Password。
返回列表