保障廣域網安全三大技巧

  目前的區域網基本上都採用以廣播為技術基礎的乙太網,任何兩個節點之間的通訊資料包,不僅為這兩個節點的網絡卡所接收,也同時為處在同一乙太網上的任何一個節點的網絡卡所擷取。因此,黑客只要接入乙太網上的任一節點進行偵聽,就可以捕獲發生在這個乙太網上的所有資料包,對其進行解包分析,從而竊取關鍵資訊,這就是乙太網所固有的安全隱患。事實上,Internet上許多免費的黑客工具都把乙太網偵聽作為其最基本的手段。

  廣域網安全

  由於廣域網大多采用公網來進行資料傳輸,資訊在廣域網上傳輸時被擷取和利用的可能性就比區域網要大得多。如果沒有專用的軟體對資料進行控制,只要使用Internet上免費下載的“包檢測”工具軟體,就可以很容易地對通訊資料進行擷取和破譯。

  因此,必須採取手段,使得在廣域網上傳送和接收資訊時能夠保證:

  ①除了傳送方和接收方外,其他人是無法知悉的***隱私性***;

  ②傳輸過程中不被篡改***真實性***;

  ③傳送方能確知接收方不是假冒的***非偽裝性***;

  ④傳送方不能否認自己的傳送行為***不可抵賴性***。

  為了達到以上安全目的,廣域網通常採用以下安全解決辦法:

  1.加密技術

  加密型網路安全技術的基本思想是不依賴於網路中資料通道的安全性來實現網路系統的安全,而是通過對網路資料的加密來保障網路的安全可靠性。資料加密技術可以分為三類,即對稱型加密、不對稱型加密和不可逆加密。

  其中不可逆加密演算法不存在金鑰保管和分發問題,適用於分散式網路系統,但是其加密計算量相當可觀,所以通常用於資料量有限的情形下使用。計算機系統中的口令就是利用不可逆加密演算法加密的。近年來,隨著計算機系統性能的不斷提高,不可逆加密演算法的應用逐漸增加,常用的如RSA公司的MD5和美國國家標準局的SHS。在海關係統中廣泛使用的Cisco路由器,有兩種口令加密方式:Enable Secret和Enable Password。其中,Enable Secret就採用了MD5不可逆加密演算法,因而目前尚未發現破解方法***除非使用字典攻擊法***。而Enable Password則採用了非常脆弱的加密演算法***即簡單地將口令與一個常數進行XOR與或運算***,目前至少已有兩種破解軟體。因此,最好不用Enable Password。

  2.技術

  ***虛擬專網***技術的核心是採用隧道技術,將企業專網的資料加密封裝後,透過虛擬的公網隧道進行傳輸,從而防止敏感資料的被竊。可以在Internet、服務提供商的IP、幀中繼或ATM網上建立。企業通過公網建立,就如同通過自己的專用網建立內部網一樣,享有較高的安全性、優先性、可靠性和可管理性,而其建立週期、投入資金和維護費用卻大大降低,同時還為移動計算提供了可能。因此,技術一經推出,便紅遍全球。

  但應該指出的是,目前技術的許多核心協議,如L2TP、IPSec等,都還未形成通用標準。這就使得不同的服務提供商之間、裝置之間的互操作性成為問題。因此,企業在建網選型時,一定要慎重選擇服務提供商和裝置。

  3.身份認證技術

  對於從外部撥號訪問總部內部網的使用者,由於使用公共電話網進行資料傳輸所帶來的風險,必須更加嚴格控制其安全性。一種常見的做法是採用身份認證技術,對撥號使用者的身份進行驗證並記錄完備的登入日誌。較常用的身份認證技術,有Cisco公司提出的TACACS+以及業界標準的RADIUS。筆者在廈門海關外部網設計中,就選用了Cisco公司的CiscoSecure ACS V2.3軟體進行RADIUS身份認證。