如何防止局域網(wǎng)監(jiān)聽保護(hù)信息安全
我們?cè)陔娨暬蛘唠娪爸薪?jīng)常會(huì)看到這樣的情景,間諜或者警察,在某戶人家的電話線總線上,拉出一根電話分線,對(duì)這個(gè)電話進(jìn)行竊聽?,F(xiàn)在這種方法在網(wǎng)絡(luò)中也逐漸蔓延開來。
由于局域網(wǎng)中采用的是廣播方式,因此在某個(gè)廣播域中(往往是一個(gè)企業(yè)局域網(wǎng)就是一個(gè)廣播域),可以監(jiān)聽到所有的信息報(bào)。而非法入侵者通過對(duì)信息包進(jìn)行分析,就能夠非法竊取局域網(wǎng)上傳輸?shù)囊恍┲匾畔ⅰH绗F(xiàn)在很多黑客在入侵時(shí),都會(huì)把局域網(wǎng)稍描與監(jiān)聽作為他們?nèi)肭种暗臏?zhǔn)備工作。因?yàn)閼{這些方式,他們可以獲得用戶名、密碼等重要的信息。如現(xiàn)在不少的網(wǎng)絡(luò)管理工具,號(hào)稱可以監(jiān)聽別人發(fā)送的郵件內(nèi)容、即時(shí)聊天信息、訪問網(wǎng)頁的內(nèi)容等等,也是通過網(wǎng)絡(luò)監(jiān)聽來實(shí)現(xiàn)的。可見,網(wǎng)絡(luò)監(jiān)聽是一把雙刃劍,用到正處,可以幫助我們管理員工的網(wǎng)絡(luò)行為;用的不好,則會(huì)給企業(yè)的網(wǎng)絡(luò)安全以致命一擊。
一、監(jiān)聽的工作原理。
要有效防止局域網(wǎng)的監(jiān)聽,則首先需要對(duì)局域網(wǎng)監(jiān)聽的工作原理有一定的了解。知己知彼,百戰(zhàn)百勝。只有如此,才能有針對(duì)性的提出一些防范措施。
現(xiàn)在企業(yè)局域網(wǎng)中常用的網(wǎng)絡(luò)協(xié)議是“以太網(wǎng)協(xié)議”。而這個(gè)協(xié)議有一個(gè)特點(diǎn),就是某個(gè)主機(jī)A如果要發(fā)送一個(gè)主機(jī)給B,其不是一對(duì)一的發(fā)送,而是會(huì)把數(shù)據(jù)包發(fā)送給局域網(wǎng)內(nèi)的包括主機(jī)B在內(nèi)的所有主機(jī)。在正常情況下,只有主機(jī)B才會(huì)接收這個(gè)數(shù)據(jù)包。其他主機(jī)在收到數(shù)據(jù)包的時(shí)候,看到這個(gè)數(shù)據(jù)庫(kù)的目的地址跟自己不匹配,就會(huì)把數(shù)據(jù)包丟棄掉。
但是,若此時(shí)局域網(wǎng)內(nèi)有臺(tái)主機(jī)C,其處于監(jiān)聽模式。則這臺(tái)數(shù)據(jù)不管數(shù)據(jù)包中的ip地址是否跟自己匹配,就會(huì)接收這個(gè)數(shù)據(jù)包,并把數(shù)據(jù)內(nèi)容傳遞給上層進(jìn)行后續(xù)的處理。這就是網(wǎng)絡(luò)監(jiān)聽的基本原理。
在以太網(wǎng)內(nèi)部傳輸數(shù)據(jù)時(shí),包含主機(jī)唯一標(biāo)識(shí)符的物理地址(MAC地址)的幀從網(wǎng)卡發(fā)送到物理的線路上,如網(wǎng)線或者光纖。此時(shí),發(fā)個(gè)某臺(tái)特定主機(jī)的數(shù)據(jù)包會(huì)到達(dá)連接在這線路上的所有主機(jī)。當(dāng)數(shù)據(jù)包到達(dá)某臺(tái)主機(jī)后,這臺(tái)主機(jī)的網(wǎng)卡會(huì)先接收這個(gè)數(shù)據(jù)包,進(jìn)行檢查。如果這個(gè)數(shù)據(jù)包中的目的地址跟自己的地址不匹配的話,就會(huì)丟棄這個(gè)包。如果這個(gè)數(shù)據(jù)包中的目的地址跟自己地址匹配或者是一個(gè)廣播地址的話,就會(huì)把數(shù)據(jù)包交給上層進(jìn)行后續(xù)的處理。在這種工作模式下,若把主機(jī)設(shè)置為監(jiān)聽模式,則其可以了解在局域網(wǎng)內(nèi)傳送的所有數(shù)據(jù)。如果這些數(shù)據(jù)沒有經(jīng)過加密處理的話,那么后果就可想而知了。
二、常見的防范措施。
1、采用加密技術(shù),實(shí)現(xiàn)密文傳輸。
從上面的分析中,我們看到,若把主機(jī)設(shè)置為監(jiān)聽模式的話,則局域網(wǎng)中傳輸?shù)娜魏螖?shù)據(jù)都可以被主機(jī)所竊聽。但是,若竊聽者所拿到的數(shù)據(jù)是被加密過的,則其即使拿到這個(gè)數(shù)據(jù)包,也沒有用處,無法解密。這就好像電影中的電報(bào),若不知道對(duì)應(yīng)的密碼,則即使獲得電報(bào)的信息,對(duì)他們來說,也是一無用處。
所以,比較常見的防范局域網(wǎng)監(jiān)聽的方法就是加密。數(shù)據(jù)經(jīng)過加密之后,通過監(jiān)聽仍然可以得到傳送的信息,但是,其顯示的是亂碼。結(jié)果是,其即使得到數(shù)據(jù),也是一堆亂碼,沒有多大的用處。
現(xiàn)在針對(duì)這種傳輸?shù)募用苁侄斡泻芏?,最常見的如IPSec協(xié)議。Ipsec 有三種工作模式,一是必須強(qiáng)制使用,二是接收方要求,三是不采用。當(dāng)某臺(tái)主機(jī)A向主機(jī)B發(fā)送數(shù)據(jù)文件的時(shí)候,主機(jī)A與主機(jī)B是會(huì)先進(jìn)行協(xié)商,其中包括是否需要采用IPSec技術(shù)對(duì)數(shù)據(jù)包進(jìn)行加密。一是必須采用,也就是說,無論是主機(jī)A還是主機(jī)B都必須支持IPSec,否則的話,這個(gè)傳輸將會(huì)以失敗告終。二是請(qǐng)求使用,如在協(xié)商的過程中,主機(jī)A會(huì)問主機(jī)B,是否需要采用IPSec。若主機(jī)B回答不需要采用,則就用明文傳輸,除非主機(jī)A的IPSec策略設(shè)置的是必須強(qiáng)制使用。若主機(jī)B回答的是可以用IPSec加密,則主機(jī)A就會(huì)先對(duì)數(shù)據(jù)包進(jìn)行加密,然后再發(fā)送。經(jīng)過IPSec技術(shù)加密過的數(shù)據(jù),一般很難被解除。而且,重要的是這個(gè)加密、解密的工作對(duì)于用戶來說,是透明的。也就是說,我們網(wǎng)絡(luò)管理員之需要配置好IPSec策略之后,員工不需要額外的動(dòng)作。是否采用IPSec加密、不采用會(huì)有什么結(jié)果等等,員工主機(jī)之間會(huì)自己進(jìn)行協(xié)商,而不需要我們進(jìn)行額外的控制。
在使用這種加密手段的時(shí)候,唯一需要注意的就是如何設(shè)置IPSec策略。也就是說,什么時(shí)候采用強(qiáng)制加密,說明時(shí)候采用可有可無的。若使用強(qiáng)制加密的情況下,一定要保證通信的雙方都支持IPSec技術(shù),否則的話,就可能會(huì)導(dǎo)致通信的不成功。最懶的方法,就是不管三七二十一,給企業(yè)內(nèi)的所有電腦都配置IPSec策略。雖然,都會(huì)在增加一定的帶寬,給網(wǎng)絡(luò)帶來一定的壓力,但是,基本上,這不會(huì)對(duì)用戶產(chǎn)生多大的直接影響?;蛘哒f,他們不能夠直觀的感受到由于采用了IPSec技術(shù)而造成的網(wǎng)絡(luò)性能減慢。
2、利用路由器等網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行物理分段。
我們從上面的以太網(wǎng)工作原理的分析中可以知道,如果銷售部門的某位銷售員工發(fā)送給銷售經(jīng)理的一份文件,會(huì)在公司整個(gè)網(wǎng)絡(luò)內(nèi)進(jìn)行傳送。我們?nèi)裟軌蛟O(shè)計(jì)一種方案,可以讓銷售員工的文件直接給銷售經(jīng)理,或者至少只在銷售部門內(nèi)部的員工可以收的到的話,那么,就可以很大程度的降低由于網(wǎng)絡(luò)監(jiān)聽所導(dǎo)致的網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。
如我們可以利用路由器來分離廣播域。若我們銷售部門跟其他部門之間不是利用共享式集線器或者普通交換機(jī)進(jìn)行連接,而是利用路由器進(jìn)行連接的話,就可以起到很好的防范局域網(wǎng)監(jiān)聽的問題。如此時(shí),當(dāng)銷售員A發(fā)信息給銷售經(jīng)理B的時(shí)候,若不采用路由器進(jìn)行分割,則這份郵件會(huì)分成若干的數(shù)據(jù)包在企業(yè)整個(gè)局域網(wǎng)內(nèi)部進(jìn)行傳送。相反,若我們利用路由器來連接銷售部門跟其他部門的網(wǎng)絡(luò),則數(shù)據(jù)包傳送到路由器之后,路由器會(huì)檢查數(shù)據(jù)包的目的IP地址,然后根據(jù)這個(gè)IP地址來進(jìn)行轉(zhuǎn)發(fā)。此時(shí),就只有對(duì)應(yīng)的IP地址網(wǎng)絡(luò)可以收到這個(gè)數(shù)據(jù)包,而其他不相關(guān)的路由器接口就不會(huì)收到這個(gè)數(shù)據(jù)包。很明顯,利用路由器進(jìn)行數(shù)據(jù)報(bào)的預(yù)處理,就可以有效的減少數(shù)據(jù)包在企業(yè)網(wǎng)絡(luò)中傳播的范圍,讓數(shù)據(jù)包能夠在最小的范圍內(nèi)傳播。
不過,這個(gè)利用路由器來分段的話,有一個(gè)不好地地方,就是在一個(gè)小范圍內(nèi)仍然可能會(huì)造成網(wǎng)絡(luò)監(jiān)聽的情況。如在銷售部門這個(gè)網(wǎng)絡(luò)內(nèi),若有一臺(tái)主機(jī)被設(shè)置為網(wǎng)絡(luò)監(jiān)聽,則其雖然不能夠監(jiān)聽到銷售部門以外的網(wǎng)絡(luò),但是,對(duì)于銷售部門內(nèi)部的主機(jī)所發(fā)送的數(shù)據(jù)包,仍然可以進(jìn)行監(jiān)聽。如財(cái)務(wù)經(jīng)理發(fā)送一份客戶的應(yīng)手帳款余額表給銷售經(jīng)理的話,有路由器轉(zhuǎn)發(fā)到銷售部門的網(wǎng)絡(luò)后,這個(gè)數(shù)據(jù)包仍然會(huì)到達(dá)銷售部門網(wǎng)絡(luò)內(nèi)地任一主機(jī)。如此的話,只要銷售網(wǎng)絡(luò)中有一臺(tái)網(wǎng)絡(luò)主機(jī)被設(shè)置為監(jiān)聽,就仍然可以竊聽到其所需要的信息。不過若財(cái)務(wù)經(jīng)理發(fā)送這份文件給總經(jīng)理,由于總經(jīng)理的網(wǎng)段不在銷售部門的網(wǎng)段,所以數(shù)據(jù)包不會(huì)傳送給財(cái)務(wù)部門所在的網(wǎng)絡(luò)段,則銷售部門中的偵聽主機(jī)就不能夠偵聽到這些信息了。