如何防止區域網監聽保護資訊保安
我們在電視或者電影中經常會看到這樣的情景,間諜或者警察,在某戶人家的電話線總線上,拉出一根電話分線,對這個電話進行竊聽。現在這種方法在網路中也逐漸蔓延開來。
由於區域網中採用的是廣播方式,因此在某個廣播域中***往往是一個企業區域網就是一個廣播域***,可以監聽到所有的資訊報。而非法入侵者通過對資訊包進行分析,就能夠非法竊取區域網上傳輸的一些重要資訊。如現在很多黑客在入侵時,都會把區域網稍描與監聽作為他們入侵之前的準備工作。因為憑這些方式,他們可以獲得使用者名稱、密碼等重要的資訊。如現在不少的網路管理工具,號稱可以監聽別人傳送的郵件內容、即時聊天資訊、訪問網頁的內容等等,也是通過網路監聽來實現的。可見,網路監聽是一把雙刃劍,用到正處,可以幫助我們管理員工的網路行為;用的不好,則會給企業的網路安全以致命一擊。
一、監聽的工作原理。
要有效防止區域網的監聽,則首先需要對區域網監聽的工作原理有一定的瞭解。知己知彼,百戰百勝。只有如此,才能有針對性的提出一些防範措施。
現在企業區域網中常用的網路協議是“乙太網協議”。而這個協議有一個特點,就是某個主機A如果要傳送一個主機給B,其不是一對一的傳送,而是會把資料包傳送給區域網內的包括主機B在內的所有主機。在正常情況下,只有主機B才會接收這個資料包。其他主機在收到資料包的時候,看到這個資料庫的目的地址跟自己不匹配,就會把資料包丟棄掉。
但是,若此時區域網內有臺主機C,其處於監聽模式。則這臺數據不管資料包中的ip地址是否跟自己匹配,就會接收這個資料包,並把資料內容傳遞給上層進行後續的處理。這就是網路監聽的基本原理。
在乙太網內部傳輸資料時,包含主機唯一識別符號的實體地址***MAC地址***的幀從網絡卡傳送到物理的線路上,如網線或者光纖。此時,發個某臺特定主機的資料包會到達連線在這線路上的所有主機。當資料包到達某臺主機後,這臺主機的網絡卡會先接收這個資料包,進行檢查。如果這個資料包中的目的地址跟自己的地址不匹配的話,就會丟棄這個包。如果這個資料包中的目的地址跟自己地址匹配或者是一個廣播地址的話,就會把資料包交給上層進行後續的處理。在這種工作模式下,若把主機設定為監聽模式,則其可以瞭解在區域網內傳送的所有資料。如果這些資料沒有經過加密處理的話,那麼後果就可想而知了。
二、常見的防範措施。
1、採用加密技術,實現密文傳輸。
從上面的分析中,我們看到,若把主機設定為監聽模式的話,則區域網中傳輸的任何資料都可以被主機所竊聽。但是,若竊聽者所拿到的資料是被加密過的,則其即使拿到這個資料包,也沒有用處,無法解密。這就好像電影中的電報,若不知道對應的密碼,則即使獲得電報的資訊,對他們來說,也是一無用處。
所以,比較常見的防範區域網監聽的方法就是加密。資料經過加密之後,通過監聽仍然可以得到傳送的資訊,但是,其顯示的是亂碼。結果是,其即使得到資料,也是一堆亂碼,沒有多大的用處。
現在針對這種傳輸的加密手段有很多,最常見的如IPSec協議。Ipsec 有三種工作模式,一是必須強制使用,二是接收方要求,三是不採用。當某臺主機A向主機B傳送資料檔案的時候,主機A與主機B是會先進行協商,其中包括是否需要採用IPSec技術對資料包進行加密。一是必須採用,也就是說,無論是主機A還是主機B都必須支援IPSec,否則的話,這個傳輸將會以失敗告終。二是請求使用,如在協商的過程中,主機A會問主機B,是否需要採用IPSec。若主機B回答不需要採用,則就用明文傳輸,除非主機A的IPSec策略設定的是必須強制使用。若主機B回答的是可以用IPSec加密,則主機A就會先對資料包進行加密,然後再發送。經過IPSec技術加密過的資料,一般很難被破解。而且,重要的是這個加密、解密的工作對於使用者來說,是透明的。也就是說,我們網路管理員之需要配置好IPSec策略之後,員工不需要額外的動作。是否採用IPSec加密、不採用會有什麼結果等等,員工主機之間會自己進行協商,而不需要我們進行額外的控制。
在使用這種加密手段的時候,唯一需要注意的就是如何設定IPSec策略。也就是說,什麼時候採用強制加密,說明時候採用可有可無的。若使用強制加密的情況下,一定要保證通訊的雙方都支援IPSec技術,否則的話,就可能會導致通訊的不成功。最懶的方法,就是不管三七二十一,給企業內的所有電腦都配置IPSec策略。雖然,都會在增加一定的頻寬,給網路帶來一定的壓力,但是,基本上,這不會對使用者產生多大的直接影響。或者說,他們不能夠直觀的感受到由於採用了IPSec技術而造成的網路效能減慢。
2、利用路由器等網路裝置對網路進行物理分段。
我們從上面的乙太網工作原理的分析中可以知道,如果銷售部門的某位銷售員工傳送給銷售經理的一份檔案,會在公司整個網路內進行傳送。我們若能夠設計一種方案,可以讓銷售員工的檔案直接給銷售經理,或者至少只在銷售部門內部的員工可以收的到的話,那麼,就可以很大程度的降低由於網路監聽所導致的網路安全的風險。
如我們可以利用路由器來分離廣播域。若我們銷售部門跟其他部門之間不是利用共享式集線器或者普通交換機進行連線,而是利用路由器進行連線的話,就可以起到很好的防範區域網監聽的問題。如此時,當銷售員A發信息給銷售經理B的時候,若不採用路由器進行分割,則這份郵件會分成若干的資料包在企業整個區域網內部進行傳送。相反,若我們利用路由器來連線銷售部門跟其他部門的網路,則資料包傳送到路由器之後,路由器會檢查資料包的目的IP地址,然後根據這個IP地址來進行轉發。此時,就只有對應的IP地址網路可以收到這個資料包,而其他不相關的路由器介面就不會收到這個資料包。很明顯,利用路由器進行資料報的預處理,就可以有效的減少資料包在企業網路中傳播的範圍,讓資料包能夠在最小的範圍內傳播。
不過,這個利用路由器來分段的話,有一個不好地地方,就是在一個小範圍內仍然可能會造成網路監聽的情況。如在銷售部門這個網路內,若有一臺主機被設定為網路監聽,則其雖然不能夠監聽到銷售部門以外的網路,但是,對於銷售部門內部的主機所傳送的資料包,仍然可以進行監聽。如財務經理髮送一份客戶的應手帳款餘額表給銷售經理的話,有路由器轉發到銷售部門的網路後,這個資料包仍然會到達銷售部門網路內地任一主機。如此的話,只要銷售網路中有一臺網路主機被設定為監聽,就仍然可以竊聽到其所需要的資訊。不過若財務經理髮送這份檔案給總經理,由於總經理的網段不在銷售部門的網段,所以資料包不會傳送給財務部門所在的網路段,則銷售部門中的偵聽主機就不能夠偵聽到這些資訊了。