保證區域網安全的三大辦法

  目前的區域網基本上都採用以廣播為技術基礎的乙太網,任何兩個節點之間的通訊資料包,不僅為這兩個節點的網絡卡所接收,也同時為處在同一乙太網上的任何一個節點的網絡卡所擷取。因此,黑客只要接入乙太網上的任一節點進行偵聽,就可以捕獲發生在這個乙太網上的所有資料包,對其進行解包分析,從而竊取關鍵資訊,這就是乙太網所固有的安全隱患。事實上,Internet上許多免費的黑客工具都把乙太網偵聽作為其最基本的手段。

  區域網安全

  當前,保證區域網安全的解決辦法有以下幾種:

  1.網路分段

  網路分段通常被認為是控制網路廣播風暴的一種基本手段,但其實也是保證網路安全的一項重要措施。其目的就是將非法使用者與敏感的網路資源相互隔離,從而防止可能的非法偵聽,網路分段可分為物理分段和邏輯分段兩種方式。

  目前,一般的區域網大多采用以交換機為中心、路由器為邊界的網路格局,應重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對區域網的安全控制。例如:普遍使用的DEC MultiSwitch 900的入侵檢測功能,其實就是一種基於MAC地址的訪問控制,也就是上述的基於資料鏈路層的物理分段。

  2.以交換式集線器代替共享式集線器

  對區域網的中心交換機進行網路分段後,乙太網偵聽的危險仍然存在。這是因為網路終端使用者的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行資料通訊時,兩臺機器之間的資料包稱為單播包Unicast Packet還是會被同一臺集線器上的其他使用者所偵聽。一種很危險的情況是:使用者TELNET到一臺主機上,由於TELNET程式本身缺乏加密功能,使用者所鍵入的每一個字元包括使用者名稱、密碼等重要資訊,都將被明文傳送,這就給黑客提供了機會。

  因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法偵聽。當然,交換式集線器只能控制單播包而無法控制廣播包Broadcast Packet和多播包Multicast Packet。所幸的是,廣播包和多播包內的關鍵資訊,要遠遠少於單播包。

  3.VLAN的劃分

  為了克服乙太網的廣播問題,除了上述方法外,還可以運用VLAN虛擬區域網技術,將乙太網通訊變為點到點通訊,防止大部分基於網路偵聽的入侵。

  目前的VLAN技術主要有三種:基於交換機埠的VLAN、基於節點MAC地址的VLAN和基於應用協議的VLAN。基於埠的VLAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎。基於MAC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基於協議的VLAN,理論上非常理想,但實際應用卻尚不成熟。

  在集中式網路環境下,我們通常將中心的所有主機系統集中到一個VLAN裡,在這個VLAN裡不允許有任何使用者節點,從而較好地保護敏感的主機資源。在分散式網路環境下,我們可以按機構或部門的設定來劃分VLAN。各部門內部的所有伺服器和使用者節點都在各自的VLAN內,互不侵擾。

  VLAN內部的連線採用交換實現,而VLAN與VLAN之間的連線則採用路由實現。目前,大多數的交換機包括普遍採用的DEC MultiSwitch 900都支援RIP和OSPF這兩種國際標準的路由協議。如果有特殊需要,必須使用其他路由協議如CISCO公司的EIGRP或支援DECnet的IS-IS,也可以用外接的多乙太網口路由器來代替交換機,實現VLAN之間的路由功能。當然,這種情況下,路由轉發的效率會有所下降。

  無論是交換式集線器還是VLAN交換機,都是以交換技術為核心,它們在控制廣播、防止黑客上相當有效,但同時也給一些基於廣播原理的入侵監控技術和協議分析技術帶來了麻煩。因此,如果區域網記憶體在這樣的入侵監控裝置或協議分析裝置,就必須選用特殊的帶有SPANSwitchPort Analyzer功能的交換機。這種交換機允許系統管理員將全部或某些交換埠的資料包對映到指定的埠上,提供給接在這一埠上的入侵監控裝置或協議分析裝置。筆者在一次外部網設計中,就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機,既得到了交換技術的好處,又使原有的Sniffer協議分析儀“英雄有用武之地”。