內(nèi)網(wǎng)基本上是采用以廣播為技術基礎的以太網(wǎng),任何兩個節(jié)點之間的通信數(shù)據(jù)包,不僅為這兩個節(jié)點的網(wǎng)卡所接收,也同時為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。
因此,黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽,就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包,對其進行解包分析,從而竊取關鍵信息這就是以太網(wǎng)所固有的安全隱患。事實上,Internet上許多免費的黑客工具,如SATAN、ISS、NETCAT等等,都把以太網(wǎng)偵聽作為基本的手段。
當前,可以采用一些措施實現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)傳輸安全:
網(wǎng)絡分段
網(wǎng)絡分段通常被認為是控制網(wǎng)絡廣播風暴的一種基本手段,但其實也是保證網(wǎng)絡安全的一項重要措施。
其目的就是把非法用戶與敏感的網(wǎng)絡資源相互隔離,從而防止可能的非法偵聽。網(wǎng)絡分段可分為物理分段和邏輯分段兩種方式。
內(nèi)網(wǎng)大多采用以交換機為中心、路由器為邊界的網(wǎng)絡格局,應重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現(xiàn)對局域網(wǎng)的安全控制。
例如在海關系統(tǒng)中普遍使用的DEC MultiSwitch 900的入侵檢測功能,其實就是一種基于MAC地址的訪問控制,也就是上述的基于 數(shù)據(jù)鏈路層的物理分段。
交換式集線器代替共享式集線器
對局域網(wǎng)的中心交換機進行網(wǎng)絡分段后,以太網(wǎng)偵聽的危險仍然存在。這是因為網(wǎng)絡終用戶的接入往往是通過分支集線器而不是中心交換機,而使用廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數(shù)據(jù)通信時,兩臺機器之間的數(shù)據(jù)包(稱為單播包Unicast Packet)還是會被同一臺集線器上的其他用戶所偵聽。一種很危險的情況是:用戶TELNET到一臺主機上,由于TELNET程序本身缺乏加密功能,用戶所鍵入的每一個字符(包括用戶名、密碼等重要信息),都會被明文發(fā)送,這就給黑客提供了機會。
因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節(jié)點之間傳送,從而防止非法偵聽。當然,交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包Multicast Packet)。所幸的是,廣播包和多播包內(nèi)的關鍵信息,要遠遠少于單播包。
VLAN的劃分
為了克服以太網(wǎng)的廣播問題,除了上述方法外,還可以運用VLAN(虛擬局域網(wǎng))技術,把以太網(wǎng)通信變?yōu)辄c到點通信,防止大部分基于網(wǎng)絡偵聽的入侵。
VLAN技術主要有三種:基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應用協(xié)議的VLAN。
基于端口的VLAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎;贛AC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN,理論上非常理想,但實際應用卻尚不成熟。
在集中式網(wǎng)絡環(huán)境下,通常把中心的所有主機系統(tǒng)集中到一個VLAN里,在這個VLAN里不允許有任何用戶節(jié)點,從而較好地保護敏感的主機資源。
在分布式網(wǎng)絡環(huán)境下,可以按機構(gòu)或部門的設置來劃分VLAN各部門內(nèi)部的所有服務器和用戶節(jié)點都在各自的VLAN內(nèi),互不侵擾。
VLAN內(nèi)部的連接采用交換實現(xiàn),而VLAN與VLAN之間的連接則采用路由實現(xiàn)。大多數(shù)的交換機(包括海關內(nèi)部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF這兩種國際標準的路由協(xié)議。如果有特殊需要,必須使用其他路由協(xié)議(如cisco公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太網(wǎng)口路由器來代替交換機,實現(xiàn)VLAN之間的路由功能。
當然,這種情況下,路由轉(zhuǎn)發(fā)的效率會有所下降。
無論是交換式集線器還是VLAN交換機,都是以交換技術為核心,它們在控制廣播、防止黑客上相當有效,但同時也給一些基于廣播原理的入侵監(jiān)控技術和協(xié)議分析技術帶來了麻煩。
因此,如果局域網(wǎng)內(nèi)存在這樣的入侵監(jiān)控設備或協(xié)議分析設備,就必須選用特殊的帶有SPAN(Switch Port Analyzer)功能的交換機。
這種交換機允許系統(tǒng)管理員把全部或某些交換端口的數(shù)據(jù)包映射到指定的端口上,提供給接在
這一端口上的入侵監(jiān)控設備或協(xié)議分析設備。