拒絕局域網(wǎng)監(jiān)聽,常見的幾種防范措施 |
發(fā)布時間: 2012/7/30 23:39:12 |
1、采用加密技術(shù),實現(xiàn)密文傳輸
比較常見的防范局域網(wǎng)監(jiān)聽的方法就是加密。數(shù)據(jù)經(jīng)過加密之后,通過監(jiān)聽仍然可以得到傳送的信息,但是,其顯示的是亂碼。結(jié)果是,其即使得到數(shù)據(jù),也是一堆亂碼,沒有多大的用處。
現(xiàn)在針對這種傳輸?shù)募用苁侄斡泻芏啵畛R姷娜鏘PSec協(xié)議。Ipsec有三種工作模式,一是必須強制使用,二是接收方要求,三是不采用。當某臺主機A向主機B發(fā)送數(shù)據(jù)文件的時候,主機A與主機B是會先進行協(xié)商,其中包括是否需要采用IPSec技術(shù)對數(shù)據(jù)包進行加密。一是必須采用,也就是說,無論是主機A還是主機B都必須支持IPSec,否則的話,這個傳輸將會以失敗告終。二是請求使用,如在協(xié)商的過程中,主機A會問主機B,是否需要采用IPSec。若主機B回答不需要采用,則就用明文傳輸,除非主機A的IPSec策略設置的是必須強制使用。若主機B回答的是可以用IPSec加密,則主機A就會先對數(shù)據(jù)包進行加密,然后再發(fā)送。經(jīng)過IPSec技術(shù)加密過的數(shù)據(jù),一般很難被破解。而且,重要的是這個加密、解密的工作對于用戶來說,是透明的。也就是說,我們網(wǎng)絡管理員之需要配置好IPSec策略之后,員工不需要額外的動作。是否采用IPSec加密、不采用會有什么結(jié)果等等,員工主機之間會自己進行協(xié)商,而不需要我們進行額外的控制。
在使用這種加密手段的時候,唯一需要注意的就是如何設置IPSec策略。也就是說,什么時候采用強制加密,說明時候采用可有可無的。若使用強制加密的情況下,一定要保證通信的雙方都支持IPSec技術(shù),否則的話,就可能會導致通信的不成功。最懶的方法,就是不管三七二十一,給企業(yè)內(nèi)的所有電腦都配置IPSec策略。雖然,都會在增加一定的帶寬,給網(wǎng)絡帶來一定的壓力,但是,基本上,這不會對用戶產(chǎn)生多大的直接影響;蛘哒f,他們不能夠直觀的感受到由于采用了IPSec技術(shù)而造成的網(wǎng)絡性能減慢。
2、利用路由器等網(wǎng)絡設備對網(wǎng)絡進行物理分段
從以太網(wǎng)工作原理中可以知道,如果銷售部門的某位銷售員工發(fā)送給銷售經(jīng)理的一份文件,會在公司整個網(wǎng)絡內(nèi)進行傳送。我們?nèi)裟軌蛟O計一種方案,可以讓銷售員工的文件直接給銷售經(jīng)理,或者至少只在銷售部門內(nèi)部的員工可以收的到的話,那么,就可以很大程度的降低由于網(wǎng)絡監(jiān)聽所導致的網(wǎng)絡安全的風險。
如我們可以利用路由器來分離廣播域。若我們銷售部門跟其他部門之間不是利用共享式集線器或者普通交換機進行連接,而是利用路由器進行連接的話,就可以起到很好的防范局域網(wǎng)監(jiān)聽的問題。如此時,當銷售員A發(fā)信息給銷售經(jīng)理B的時候,若不采用路由器進行分割,則這份郵件會分成若干的數(shù)據(jù)包在企業(yè)整個局域網(wǎng)內(nèi)部進行傳送。相反,若我們利用路由器來連接銷售部門跟其他部門的網(wǎng)絡,則數(shù)據(jù)包傳送到路由器之后,路由器會檢查數(shù)據(jù)包的目的IP地址,然后根據(jù)這個IP地址來進行轉(zhuǎn)發(fā)。此時,就只有對應的IP地址網(wǎng)絡可以收到這個數(shù)據(jù)包,而其他不相關(guān)的路由器接口就不會收到這個數(shù)據(jù)包。很明顯,利用路由器進行數(shù)據(jù)報的預處理,就可以有效的減少數(shù)據(jù)包在企業(yè)網(wǎng)絡中傳播的范圍,讓數(shù)據(jù)包能夠在最小的范圍內(nèi)傳播。
不過,這個利用路由器來分段的話,有一個不好地地方,就是在一個小范圍內(nèi)仍然可能會造成網(wǎng)絡監(jiān)聽的情況。如在銷售部門這個網(wǎng)絡內(nèi),若有一臺主機被設置為網(wǎng)絡監(jiān)聽,則其雖然不能夠監(jiān)聽到銷售部門以外的網(wǎng)絡,但是,對于銷售部門內(nèi)部的主機所發(fā)送的數(shù)據(jù)包,仍然可以進行監(jiān)聽。如財務經(jīng)理發(fā)送一份客戶的應手帳款余額表給銷售經(jīng)理的話,有路由器轉(zhuǎn)發(fā)到銷售部門的網(wǎng)絡后,這個數(shù)據(jù)包仍然會到達銷售部門網(wǎng)絡內(nèi)地任一主機。如此的話,只要銷售網(wǎng)絡中有一臺網(wǎng)絡主機被設置為監(jiān)聽,就仍然可以竊聽到其所需要的信息。不過若財務經(jīng)理發(fā)送這份文件給總經(jīng)理,由于總經(jīng)理的網(wǎng)段不在銷售部門的網(wǎng)段,所以數(shù)據(jù)包不會傳送給財務部門所在的網(wǎng)絡段,則銷售部門中的偵聽主機就不能夠偵聽到這些信息了。
另外,采用路由器進行網(wǎng)絡分段外,還有一個好的副作用,就是可以減輕網(wǎng)絡帶寬的壓力。若數(shù)據(jù)包在這個網(wǎng)絡內(nèi)進行傳播的話,會給網(wǎng)絡帶來比較大的壓力。相反,通過路由器進行網(wǎng)絡分段,從而把數(shù)據(jù)包控制在一個比較小的范圍之內(nèi),那么顯然可以節(jié)省網(wǎng)絡帶寬,提高網(wǎng)絡的性能。特別是企業(yè)在遇到DDOS等類似攻擊的時候,可以減少其危害性。
3、利用虛擬局域網(wǎng)實現(xiàn)網(wǎng)絡分段
我們不僅可以利用路由器這種網(wǎng)絡硬件來實現(xiàn)網(wǎng)絡分段。但是,這畢竟需要企業(yè)購買路由器設備。其實,我們也可以利用一些交換機實現(xiàn)網(wǎng)絡分段的功能。如有些交換機支持虛擬局域網(wǎng)技術(shù),就可以利用它來實現(xiàn)網(wǎng)絡分段,減少網(wǎng)絡偵聽的可能性。
虛擬局域網(wǎng)的分段作用跟路由器類似,可以把企業(yè)的局域網(wǎng)分割成一個個的小段,讓數(shù)據(jù)包在小段內(nèi)傳輸,將以太網(wǎng)通信變?yōu)辄c到點的通信,從而可以防止大部分網(wǎng)絡監(jiān)聽的入侵。 本文出自:億恩科技【mszdt.com】 |