内網基本上是采用以廣播爲技術基礎的以太網,任何兩(liǎng)個節點之間的通信數據包,不僅爲這(zhè)兩(liǎng)個節點的網卡所接收,也同時爲處在同一以太網上的任何一個節點的網卡所截取。
因此,黑客隻要接入以太網上的任一節點進(jìn)行偵聽,就可以捕獲發(fā)生在這(zhè)個以太網上的所有數據包,對(duì)其進(jìn)行解包分析,從而竊取關鍵信息這(zhè)就是以太網所固有的安全隐患。事(shì)實上,Internet上許多免費的黑客工具,如SATAN、ISS、NETCAT等等,都(dōu)把以太網偵聽作爲基本的手段。
當前,可以采用一些措施實現内網數據傳輸安全:
網絡分段
網絡分段通常被(bèi)認爲是控制網絡廣播風暴的一種(zhǒng)基本手段,但其實也是保證網絡安全的一項重要措施。
其目的就是把非法用戶與敏感的網絡資源相互隔離,從而防止可能(néng)的非法偵聽。網絡分段可分爲物理分段和邏輯分段兩(liǎng)種(zhǒng)方式。
内網大多采用以交換機爲中心、路由器爲邊界的網絡格局,應重點挖掘中心交換機的訪問控制功能(néng)和三層交換功能(néng),綜合應用物理分段與邏輯分段兩(liǎng)種(zhǒng)方法,來實現對(duì)局域網的安全控制。
例如在海關系統中普遍使用的DEC MultiSwitch 900的入侵檢測功能(néng),其實就是一種(zhǒng)基于MAC地址的訪問控制,也就是上述的基于 數據鏈路層的物理分段。
交換式集線器代替共享式集線器
對(duì)局域網的中心交換機進(jìn)行網絡分段後(hòu),以太網偵聽的危險仍然存在。這(zhè)是因爲網絡終用戶的接入往往是通過(guò)分支集線器而不是中心交換機,而使用廣泛的分支集線器通常是共享式集線器。這(zhè)樣(yàng),當用戶與主機進(jìn)行數據通信時,兩(liǎng)台機器之間的數據包(稱爲單播包Unicast Packet)還(hái)是會被(bèi)同一台集線器上的其他用戶所偵聽。一種(zhǒng)很危險的情況是:用戶TELNET到一台主機上,由于TELNET程序本身缺乏加密功能(néng),用戶所鍵入的每一個字符(包括用戶名、密碼等重要信息),都(dōu)會被(bèi)明文發(fā)送,這(zhè)就給黑客提供了機會。
因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩(liǎng)個節點之間傳送,從而防止非法偵聽。當然,交換式集線器隻能(néng)控制單播包而無法控制廣播包(Broadcast Packet)和多播包Multicast Packet)。所幸的是,廣播包和多播包内的關鍵信息,要遠遠少于單播包。
VLAN的劃分
爲了克服以太網的廣播問題,除了上述方法外,還(hái)可以運用VLAN(虛拟局域網)技術,把以太網通信變爲點到點通信,防止大部分基于網絡偵聽的入侵。
VLAN技術主要有三種(zhǒng):基于交換機端口的VLAN、基于節點MAC地址的VLAN和基于應用協議的VLAN。
基于端口的VLAN雖然稍欠靈活,但卻比較成(chéng)熟,在實際應用中效果顯著,廣受歡迎。基于MAC地址的VLAN爲移動計算提供了可能(néng)性,但同時也潛藏著(zhe)遭受MAC欺詐攻擊的隐患。而基于協議的VLAN,理論上非常理想,但實際應用卻尚不成(chéng)熟。
在集中式網絡環境下,通常把中心的所有主機系統集中到一個VLAN裡(lǐ),在這(zhè)個VLAN裡(lǐ)不允許有任何用戶節點,從而較好(hǎo)地保護敏感的主機資源。
在分布式網絡環境下,可以按機構或部門的設置來劃分VLAN各部門内部的所有服務器和用戶節點都(dōu)在各自的VLAN内,互不侵擾。
VLAN内部的連接采用交換實現,而VLAN與VLAN之間的連接則采用路由實現。大多數的交換機(包括海關内部普遍采用的DEC MultiSwitch 900)都(dōu)支持RIP和OSPF這(zhè)兩(liǎng)種(zhǒng)國(guó)際标準的路由協議。如果有特殊需要,必須使用其他路由協議(如cisco公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太網口路由器來代替交換機,實現VLAN之間的路由功能(néng)。
當然,這(zhè)種(zhǒng)情況下,路由轉發(fā)的效率會有所下降。
無論是交換式集線器還(hái)是VLAN交換機,都(dōu)是以交換技術爲核心,它們在控制廣播、防止黑客上相當有效,但同時也給一些基于廣播原理的入侵監控技術和協議分析技術帶來了麻煩。
因此,如果局域網内存在這(zhè)樣(yàng)的入侵監控設備或協議分析設備,就必須選用特殊的帶有SPAN(Switch Port Analyzer)功能(néng)的交換機。
這(zhè)種(zhǒng)交換機允許系統管理員把全部或某些交換端口的數據包映射到指定的端口上,提供給接在
這(zhè)一端口上的入侵監控設備或協議分析設備。