目前局域网上都是采用以广播为技术基础的以太网,任何两个节点之间的通信数据包不仅被这两个节点的网卡所接收,也同时被处于同一以太网上的任一节点的网卡所截取,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包并对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,网上的很多免费的黑客工具都是把以太网侦听作为其最基本的手段。当前,局域网安全的解决方法有以下几种。
1.网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离。从而防止可能的非法侦听,网络分段分为物理分段和逻辑分段两种方式。
目前,局域网大多数采用以交换机为中心,路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理和逻辑分段两种方法,来实现对局域网的安全控制。
2.交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在,这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用较广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行通信时,两台机器之间的数据包(称为单播包)还是会被同一台集线器上的其他用户侦听。一种很危险的情况是:用户远程登录到一台主机上,由于Telnet程序本身缺乏加密功能,用户所输入的每—个字符(包括用户名、密码等重要信息),都将被明文发送,这给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包和多播包。所幸的是,广播包和多播包的关键信息,要远远少于单播包。(www.daowen.com)
3.VLAN划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术上要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却不成熟。
在集中式网络环境下,通常将所有主机系统集中到—个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好的保护主机资源。在分布式网络环境下,可以按部门或机构的设置来划分VLAN,各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接采用路由实现。目前,大多数的交换机都支持RIP和OSPF这两种国际标准的路由协议。如果有其他需要,必须使用其他路由协议,也可以用外接的多以太网路由器来代替交换机,实现VLAN之间的路由功能。当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,他们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵检测设备和协议分析技术带来了麻烦。因此,如果局域网内存在这样的入侵监控制设备和协议分析设备,就必须选用特殊的带有SPAN功能的交换机。这种功能的交换机允许系统管理员将全部或部分交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控制设备或协议分析设备。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。