本文目录一览:
- 1、企业如何保证企业内部网络安全不受侵扰
- 2、对企业网络最大的威胁是?
- 3、企业网络主要存在哪些安全漏洞和安全隐患,面临黑客哪些渗透攻击
- 4、企业网络常见的攻击手法和防护措施?
- 5、企业网络面临的主要威胁
- 6、有啥可以帮助我们预防黑客入侵企业内网呢?
企业如何保证企业内部网络安全不受侵扰
几乎所有企业对于网络安全的重视程度一下子提高了,纷纷采购防火墙等设备希望堵住来自Internet的不安全因素。然而,Intranet内部的攻击和入侵却依然猖狂。事实证明,公司内部的不安全因素远比外部的危害更恐怖。
大多企业重视提高企业网的边界安全,暂且不提它们在这方面的投资多少,但是大多数企业网络的核心内网还是非常脆弱的。企业也对内部网络实施了相应保护措施,如:安装动辄数万甚至数十万的网络防火墙、入侵检测软件等,并希望以此实现内网与Internet的安全隔离,然而,情况并非如此!企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁,从某种意义来讲,企业耗费巨资配备的防火墙已失去意义。这种接入方式的存在,极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络,从而造成敏感数据泄密、传播病毒等严重后果。实践证明,很多成功防范企业网边界安全的技术对保护企业内网却没有效用。于是网络维护者开始大规模致力于增强内网的防卫能力。
下面给出了应对企业内网安全挑战的10种策略。这10种策略即是内网的防御策略,同时也是一个提高大型企业网络安全的策略。
1、注意内网安全与网络边界安全的不同
内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server,然后以此为基地,对Internet上其他主机发起恶性攻击。因此,应在边界展开黑客防护措施,同时建立并加强内网防范策略。
2、限制VPN的访问
虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访问邮件服务器或其他可选择的网络资源的权限。
3、为合作企业网建立内网型的边界防护
合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙,保护MS-SQL,但是Slammer蠕虫仍能侵入内网,这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此,既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合作企业创建一个 DMZ,并将他们所需要访问的资源放置在相应的DMZ中,不允许他们对内网其他资源的访问。
4、自动跟踪的安全策略
智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革,极大的超过了手动安全策略的功效。商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变更,因此,安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与该计算机对话的文件服务器。总之,要做到确保每天的所有的活动都遵循安全策略。
5、关掉无用的网络服务器
大型企业网可能同时支持四到五个服务器传送e-mail,有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用的,关掉该文件的共享协议。
6、首先保护重要资源
若一个内网上连了千万台(例如30000台)机子,那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样,首先要对服务器做效益分析评估,然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行限制管理。这样就能迅速准确地确定企业最重要的资产,并做好在内网的定位和权限限制工作。
7、建立可靠的无线访问
审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。将访问点置于边界防火墙之外,并允许用户通过VPN技术进行访问。
8、建立安全过客访问
对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略,使得员工给客户一些非法的访问权限,导致了内网实时跟踪的困难。因此,须在边界防火墙之外建立过客访问网络块。
9、创建虚拟边界防护
主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的),还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样,如果一个市场用户的客户机被侵入了,攻击者也不会由此而进入到公司的RD。因此要实现公司RD与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护,现在也应该意识到建立网上不同商业用户群之间的边界防护。
10、可靠的安全决策
网络用户也存在着安全隐患。有的用户或许对网络安全知识非常欠缺,例如不知道 RADIUS和TACACS之间的不同,或不知道代理网关和分组过滤防火墙之间的不同等等,但是他们作为公司的合作者,也是网络的使用者。因此企业网就要让这些用户也容易使用,这样才能引导他们自动的响应网络安全策略。
另外,在技术上,采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少。
对企业网络最大的威胁是?
网络漏洞、黑客攻击。
矛和盾始终是孪生兄弟,有矛必有盾,当企业网络日益盛行的今天,黑客攻击防不胜防。
网络达人真是山外有山,楼外有楼,企业自以为有盾拦截,矛无用武之地时,又有漏洞了,黑客会乘虚而入。黑客无时无地不挑战法律底线。企业不能掉以轻心应对威胁。
企业网络主要存在哪些安全漏洞和安全隐患,面临黑客哪些渗透攻击
安全漏洞主要有1.系统级漏洞2.网站所采用的建站系统的通用型漏洞,此漏洞危害巨大
隐患有1.员工和管理员安全意识淡泊,出现弱密码漏洞等低级漏洞2.网站权限控制不严格,过滤不严格3.对用户提交数据过于信任
攻击,主要有1.sql注射 2.dos或ddos等暴力攻击 3.xss跨站脚本攻击 4.csrf跨站请求伪造 5第三方网站的挂马攻击 6.cms爆出的exp,0day攻击 7.钓鱼,社会工程学的攻击
企业网络常见的攻击手法和防护措施?
随着Internet/Intranet技术的飞速发展和广泛应用,网络安全问题愈来愈突出,已成为当前的一大技术热点。黑客技术的公开和有组织化,以及网络的开放性使得网络受到攻击的威胁越来越大。而企业对这一问题严重性的认识和所具备的应付能力还远远不够。加上管理不当,应用人员水平参差不齐,没有有效的方式控制网络的安全状况,企业理想中的安全与实际的安全程度存在巨大的差距。
1、网络安全面临的威胁
(1)、人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
(2)、人为的恶意攻击,来自内部的攻击者往往会对内部网安全造成最大的威胁,因为他们本身就是单位内部人员,对单位的业务流程,应用系统,网络结构甚至是网络系统管理非常熟悉,而这些人员对Intranet发起攻击的成功率可能最高,造成的损失最大,所以这部分攻击者应该成为我们要防范的主要目标。
(3)、网络软件的漏洞和“后门”网络软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过的黑客攻入网络内部的事件大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,可一旦“后门”洞开,其造成的后果将不堪设想。
(4)、互联网络的不安全因素,国际互联网络是跨越时空的,所以安全问题也是跨越时空的。虽然我们国家的网络不发达,但是我们遭到的安全危险却是同国外一样的,这是一个很严重的问题。在不同的行业,所遭受的攻击因行业和网络服务的不同而不同。在电信或者ICP市场,进攻服务系统比较多;而在银行业,对数据系统的进攻相对更频繁;政府方面,对服务的进攻,尤其是其信息发布系统很频繁。
(5)、病毒入侵,目前,网络病毒种类繁多,病毒很容易通过互联网或其他途径(如通过各接入点、日常维护操作、磁盘、其他外网)进入网络内部各服务器,造成网络拥塞、业务中断、系统崩溃。而现在流行的各种新型网络病毒,将网络蠕虫、计算机病毒、木马程序合为一体,发展到融和了多种技术于一体,互相利用和协同,已不仅仅是单一的攻击和漏洞利用,使系统自身防不胜防。病毒发作对系统数据的破坏性、和系统本身都将会造成很大的影响。
2、网络攻击的一般方法
从黑客的角度来看,黑客可以利用的方式多种多样,包括:
(1)使用探察软件,猜测和分析操作系统类别、网络提供服务、网络的结构等;
(2)使用强制攻击软件对网络进行攻击,例如针对POP的强行的密码猜解,SQL的密码猜解等;
(3)使用漏洞扫描工具,发现漏洞,进而采用缓存溢出等手段直接或者间接的获取系统超级用户权限;如系统平台自身由于漏洞被黑客利用,将直接导致全厂业务服务的中断。
(4)使用木马进行非法连接;
(5)利用疏忽的数据库简单配置,例如超级管理员密码简单甚至为空或者用户密码和用户名相同等漏洞,获取数据库的某些权限,进而获得系统的权限。
(6)利用可信任的关系进行攻击,例如深圳电信网站的某些数据库设定的访问地址,这样黑客可以先攻击这些被数据库信任的地址进行逐“跳”的攻击。
(7)DDOS攻击,使用各种工具进行洪水攻击;利用漏洞的拒绝服务攻击。
3、企业网络安全防护措施
根据企业网络系统的实际防护需要,必须保护的内容包括:Web主机(门户网站、OA系统等基于Web访问的主机),数据库主机,邮件服务器等,网络入口,内部网络检测。对企业重要的是有效防护Web服务器的非法访问和网页被非法修改,防护数据库服务器数据被非授权用户非法访问或被黑客篡改、删除。一旦发现服务器遭入侵或网页被篡改,能进行及时报警和恢复处理。
(1)防火墙,在外部网络同内部网络之间应设置防火墙设备。如通过防火墙过滤进出网络的数据;对进出网络的访问行为进行控制和阻断;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的监测和告警。禁止外部用户进入内部网络,访问内部机器;保证外部用户可以且只能访问到某些指定的公开信息;限制内部用户只能访问到某些特定的Intenet资源,如WWW服务、FTP服务、TELNET服务等;防火墙产品本身具有很强的抗攻击能力。使用硬件防火墙,管理和维护更加方便有效。
(2)、入侵检测系统,企业内部主机操作系统种类一般在两种以上,而目前漏洞攻击手法大部分是基于操作系统已有的安全漏洞进行攻击,通过使用防火墙设备可以防范大部分的黑客攻击,但是有些攻击手法是通过防火墙上开启的正常服务来实现的,而且防火墙不能防范内部用户的恶意行为和误操作。通过使用入侵检测系统,可以监视用户和系统的运行状态,查找非法用户和合法用户的越权操作;检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;对用户非法活动的统计分析,发现攻击行为的规律;检查系统程序和数据的一致性和正确性;能够实时对检测到的攻击行为进行反应。
(3)网络漏洞扫描入侵者一般总是通过寻找网络中的安全漏洞来寻找入侵点。进行系统自身的脆弱性检查的主要目的是先于入侵者发现漏洞并及时弥补,从而进行安全防护。由于网络是动态变化的:网络结构不断发生变化、主机软件不断更新和增添;所以,我们必须经常利用网络漏洞扫描器对网络设备进行自动的安全漏洞检测和分析,包括:应用服务器、WWW服务器、邮件服务器、DNS服务器、数据库服务器、重要的文件服务器及交换机等网络设备,通过模拟黑客攻击手法,探测网络设备中存在的弱点和漏洞,提醒安全管理员,及时完善安全策略,降低安全风险。
(4)、防病毒系统要防止计算机病毒在网络上传播、扩散,需要从Internet、邮件、文件服务器和用户终端四个方面来切断病毒源,才能保证整个网络免除计算机病毒的干扰,避免网络上有害信息、垃圾信息的大量产生与传播。单纯的杀毒软件都是单一版系统,只能在单台计算机上使用,只能保证病毒出现后将其杀灭,不能阻止病毒的传播和未知病毒的感染;若一个用户没有这些杀毒软件,它将成为一个病毒传染源,影响其它用户,网络传播型病毒的影响更甚。只有将防毒、杀毒融为一体来考虑,才能较好的达到彻底预防和清除病毒的目的。
因此,使用网络防、杀毒的全面解决方案才是消除病毒影响的最佳办法。它可以将进出企业网的病毒、邮件病毒进行有效的清除,并提供基于网络的单机杀毒能力。网络病毒防护系统能保证病毒库的及时更新,以及对未知病毒的稽查。另外,要提高网络运行的管理水平,有效地、全方位地保障网络安全。
4、企业网络安全解决方案
广义的计算机系统安全的范围很广,它不仅包括计算机系统本身,还包括自然灾害(如雷电、地震、火灾等),物理损坏(如硬盘损坏、设备使用寿命到期等),设备故障(如停电、电磁干扰等),意外事故等。
狭义的系统安全包括计算机主机系统和网络系统上的主机、网络设备和某些终端设备的安全问题,主要针对对这些系统的攻击、侦听、欺骗等非法手段的防护。以下所有的计算机系统安全均是狭义的系统安全范畴。规划企业网络安全方案,要根据企业的网络现状和网络安全需求,结合网络安全分析,一是需要加强对网络出口安全方面的控制和管理,防止安全事故的发生;二是加强内部网络访问控制,以业务分工来规划网络,限制网络用户的访问范围;同时增加网络安全检测设备,对用户的非法访问进行监控。我们建议,企业的安全解决方案一般应有下面一些做法:
(1)在Internet接入处,放置高性能硬件防火墙(包括防火墙+带宽管理+流探测+互动IDS等)。防火墙要支持包过滤和应用级代理两种技术,具有三种管理方式,能够很方便的设置防火墙的各种安全策略,并且能够与网络入侵检测系统进行互动,相互配合,阻挡黑客的攻击。
(2)在内网快速以大网交换机上连接一个网络入侵检测系统,对进入内网的数据包进行检查,确保没有恶意的数据包进入,从而影响内网数据服务器的正常工作。
(3)使用互联网入侵检测系统对DMZ区和内网的服务器(包括Web服务器/应用服务器、数据服务器、DNS服务器、邮件服务器和管理服务器等),以及桌面计算机进行扫描和评估,进行人工安全分析,以确定其存在的各种安全隐患和漏洞,并根据扫描的结果提出加固建议,保护企业网络系统的正常工作。
(4)在各主要服务器上安装服务器防病毒产品,对服务器进行病毒防护,确保病毒不会进入各服务器,并且不会通过服务器进行传播。
(5)用一台专用的PC服务器安装服务器防病毒系统,并在内网上安装工作站防病毒产品,通过服务器防病毒系统对这些工作站进行管理和升级。
企业网络面临的主要威胁
当今的中小企业与较大型的企业组织一样,都开始广泛的利用信息化手段提升自身的竞争力。信息设施可以有效提高中小企业的运营效率,使中小企业可以更快速的发展壮大。然而在获得这些利益的同时,给许多大型企业造成重大损失的信息安全问题同样也在困扰着中小企业群体。虽然中小企业的信息设施规模相对较小,但是其面临的安全威胁却并不比大型企业为少。我们下面就来看一看中小企业在信息安全方面的几点主要需求。
防范恶意攻击
对于利用互联网接入来开展业务或者辅助工作的企业来说,骇客的恶意攻击行为无疑是最令人头痛的问题之一。已有大量报道和统计资料显示企业正为形形色色的攻击行为付出高昂的代价,而这些被曝光的案例尚只是冰山一角。
由于大多数企业担心公布这些信息会对自身形象造成负面影响,所以我们相信仍旧有大量的信息安全事件没有为大众所知晓。而另一方面,因为很多企业没有精力处理频繁发生的攻击事件,甚至大部分由于恶意攻击造成的损失都没有被正确估算。我们从一个侧面可以了解到目前恶意攻击已经演变到何等剧烈的程度,那就是现在企业对于骇客攻击所持的态度。
仅仅是几年前这些事件对于我们来说还是那么的遥远与神秘,而现在当网络发生问题时恶意攻击已经成为一个主要的被怀疑对象了。在中小企业的信息环境里,攻击行为相对来说并不特别猛烈,或者说小型的信息设施相对较少受到有针对性的、强度很大的攻击。但是,目前的中小企业所选用的软件产品存在着大量的安全漏洞,而针对这些漏洞的自动化攻击工具已经相当的民间化了。
对于没有受到过滤保护的网络节点来说,每时每刻都要承受大量网络攻击的考验。即使这些攻击是漫无目的的,但仍有很大可能突破那些疏于管理的计算机设施。从某种程度上来讲,这些不讲究策略的攻击者对中小企业的安全威胁要更大一些。
计算机病毒这样的威胁更能体现这一问题。当下传播最为广泛的蠕虫类病毒和很多攻击程序一样,利用系统的安全漏洞进行传播,而且并没有特定的感染目标。对于一些蠕虫病毒来说,在一个小时的时间里就可以轻松的感染数以十万计的计算机。为了解决网络攻击方面的安全隐患,企业需要进行很多工作。
单纯的应用安全防护产品是无法避免这类攻击行为的,企业还必须执行补丁管理等辅助的安全管理措施。在中小企业中,进行这些工作有很多先天性的“阻碍”。资源不足、IT设施管理松散、员工行为随意性较强等问题给信息安全工作提出了很大的挑战。而作为应对的不仅仅是企业单方面的意识提高,更适合中小企业实际情况的安全防御产品目前也存在着很大的空白。虽然近两年涌现的很多整合式的信息安全设备在总体成本和易用性上提供了很多吸引中小企业的特性,但是还不足以解决目前中小企业在信息安全领域所遭受的困境。
误用和滥用
对信息设施的误用既像恶意攻击的孪生兄弟又与其存在明显的因果关系。因为我们探讨的信息安全问题并不仅仅包括骇客行为所带来的经济及非经济损失,只要对信息设施的运行造成障碍的行为都能够被划归到信息安全范畴进行管理。
在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中,企业员工的信息安全意识是相对落后的。而企业管理层在大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析,中小企业尚无法将信息安全的理念融入到企业的整体经营理念中,这导致了企业的信息管理中存在着大量的安全盲点和误区。
这类问题使得信息安全厂商不得不频繁重申服务对于信息安全业务的重要性。这既可以看作是国内信息安全产业一种进步的表现,同时又体现出我们在信息安全理念建设方面的巨大差距。好在除了供应商之外,用户也已经深刻的认识到同样的问题,相信经过广泛的培训和教育,这种现状可以被很好的改善。
除了对信息设施的错误使用之外,滥用的问题在近一段时间表现的更为突出一些,并且由于滥用问题更加模糊和难以界定,使企业在处理类似问题的时候颇显捉襟见肘。虽然近年来被广泛关注的P2P传输问题并不是一个典型的信息安全问题,但由于这些传输流量常常严重干扰企业的正常通信流量而且也存在着一些泄漏企业信息的风险,所以这确实是信息设施滥用问题的一个较好的示例。
从技术的角度处理P2P传输问题并没有太大的难度,但是面对员工权利和隐私等方面的争论,企业对P2P传输的管理问题已经上升到了道德问题的层次。在中小企业里,由于制度化管理方面的相对弱化,在处理信息设施滥用乃至误用问题的时候会加倍艰难。这也是在中小企业环境中实施信息安全所迫切需要解决的问题。
总结
综合上述的问题,中小企业的信息安全需求主要体现在迫切需要适合自身情况的综合解决方案。随着时间的发展,中小企业所面临的安全问题会进一步复杂化和深入化。而随着越来越多的中小企业将自己的智力资产建构在其信息设施基础之上,对于信息安全的需求也会迅速的成长。我们所热切希望的就是,在这种需求产生爆炸性膨胀的前夕,所有的厂商都准备好了足够的武器去赢得这场战争。
有啥可以帮助我们预防黑客入侵企业内网呢?
我们在电视或者电影中经常会看到这样的情景,间谍或者警察,在某户人家的电话线总线上,拉出一根电话分线,对这个电话进行窃听。现在这种方法在网络中也逐渐蔓延开来。
由于局域网中采用的是广播方式,因此在某个广播域中(往往是一个企业局域网就是一个广播域),可以监听到所有的信息报。而非法入侵者通过对信息包进行分析,就能够非法窃取局域网上传输的一些重要信息。如现在很多黑客在入侵时,都会把局域网稍描与监听作为他们入侵之前的准备工作。因为凭这些方式,他们可以获得用户名、密码等重要的信息。如现在不少的网络管理工具,号称可以监听别人发送的邮件内容、即时聊天信息、访问网页的内容等等,也是通过网络监听来实现的。可见,网络监听是一把双刃剑,用到正处,可以帮助我们管理员工的网络行为;用的不好,则会给企业的网络安全以致命一击。
一、监听的工作原理。
要有效防止局域网的监听,则首先需要对局域网监听的工作原理有一定的了解。知己知彼,百战百胜。只有如此,才能有针对性的提出一些防范措施。
现在企业局域网中常用的网络协议是“以太网协议”。而这个协议有一个特点,就是某个主机A如果要发送一个主机给B,其不是一对一的发送,而是会把数据包发送给局域网内的包括主机B在内的所有主机。在正常情况下,只有主机B才会接收这个数据包。其他主机在收到数据包的时候,看到这个数据库的目的地址跟自己不匹配,就会把数据包丢弃掉。
但是,若此时局域网内有台主机C,其处于监听模式。则这台数据不管数据包中的IP地址是否跟自己匹配,就会接收这个数据包,并把数据内容传递给上层进行后续的处理。这就是网络监听的基本原理。
在以太网内部传输数据时,包含主机唯一标识符的物理地址(MAC地址)的帧从网卡发送到物理的线路上,如网线或者光纤。此时,发个某台特定主机的数据包会到达连接在这线路上的所有主机。当数据包到达某台主机后,这台主机的网卡会先接收这个数据包,进行检查。如果这个数据包中的目的地址跟自己的地址不匹配的话,就会丢弃这个包。如果这个数据包中的目的地址跟自己地址匹配或者是一个广播地址的话,就会把数据包交给上层进行后续的处理。在这种工作模式下,若把主机设置为监听模式,则其可以了解在局域网内传送的所有数据。如果这些数据没有经过加密处理的话,那么后果就可想而知了。
二、常见的防范措施。
1、采用加密技术,实现密文传输。
从上面的分析中,我们看到,若把主机设置为监听模式的话,则局域网中传输的任何数据都可以被主机所窃听。但是,若窃听者所拿到的数据是被加密过的,则其即使拿到这个数据包,也没有用处,无法解密。这就好像电影中的电报,若不知道对应的密码,则即使获得电报的信息,对他们来说,也是一无用处。
所以,比较常见的防范局域网监听的方法就是加密。数据经过加密之后,通过监听仍然可以得到传送的信息,但是,其显示的是乱码。结果是,其即使得到数据,也是一堆乱码,没有多大的用处。
现在针对这种传输的加密手段有很多,最常见的如IPSec协议。Ipsec 有三种工作模式,一是必须强制使用,二是接收方要求,三是不采用。当某台主机A向主机B发送数据文件的时候,主机A与主机B是会先进行协商,其中包括是否需要采用IPSec技术对数据包进行加密。一是必须采用,也就是说,无论是主机A还是主机B都必须支持IPSec,否则的话,这个传输将会以失败告终。二是请求使用,如在协商的过程中,主机A会问主机B,是否需要采用IPSec。若主机B回答不需要采用,则就用明文传输,除非主机A的IPSec策略设置的是必须强制使用。若主机B回答的是可以用IPSec加密,则主机A就会先对数据包进行加密,然后再发送。经过IPSec技术加密过的数据,一般很难被破解。而且,重要的是这个加密、解密的工作对于用户来说,是透明的。也就是说,我们网络管理员之需要配置好IPSec策略之后,员工不需要额外的动作。是否采用IPSec加密、不采用会有什么结果等等,员工主机之间会自己进行协商,而不需要我们进行额外的控制。
在使用这种加密手段的时候,唯一需要注意的就是如何设置IPSec策略。也就是说,什么时候采用强制加密,说明时候采用可有可无的。若使用强制加密的情况下,一定要保证通信的双方都支持IPSec技术,否则的话,就可能会导致通信的不成功。最懒的方法,就是不管三七二十一,给企业内的所有电脑都配置IPSec策略。虽然,都会在增加一定的带宽,给网络带来一定的压力,但是,基本上,这不会对用户产生多大的直接影响。或者说,他们不能够直观的感受到由于采用了IPSec技术而造成的网络性能减慢。
2、利用路由器等网络设备对网络进行物理分段。
我们从上面的以太网工作原理的分析中可以知道,如果销售部门的某位销售员工发送给销售经理的一份文件,会在公司整个网络内进行传送。我们若能够设计一种方案,可以让销售员工的文件直接给销售经理,或者至少只在销售部门内部的员工可以收的到的话,那么,就可以很大程度的降低由于网络监听所导致的网络安全的风险。
如我们可以利用路由器来分离广播域。若我们销售部门跟其他部门之间不是利用共享式集线器或者普通交换机进行连接,而是利用路由器进行连接的话,就可以起到很好的防范局域网监听的问题。如此时,当销售员A发信息给销售经理B的时候,若不采用路由器进行分割,则这份邮件会分成若干的数据包在企业整个局域网内部进行传送。相反,若我们利用路由器来连接销售部门跟其他部门的网络,则数据包传送到路由器之后,路由器会检查数据包的目的IP地址,然后根据这个IP地址来进行转发。此时,就只有对应的IP地址网络可以收到这个数据包,而其他不相关的路由器接口就不会收到这个数据包。很明显,利用路由器进行数据报的预处理,就可以有效的减少数据包在企业网络中传播的范围,让数据包能够在最小的范围内传播。
不过,这个利用路由器来分段的话,有一个不好地地方,就是在一个小范围内仍然可能会造成网络监听的情况。如在销售部门这个网络内,若有一台主机被设置为网络监听,则其虽然不能够监听到销售部门以外的网络,但是,对于销售部门内部的主机所发送的数据包,仍然可以进行监听。如财务经理发送一份客户的应手帐款余额表给销售经理的话,有路由器转发到销售部门的网络后,这个数据包仍然会到达销售部门网络内地任一主机。如此的话,只要销售网络中有一台网络主机被设置为监听,就仍然可以窃听到其所需要的信息。不过若财务经理发送这份文件给总经理,由于总经理的网段不在销售部门的网段,所以数据包不会传送给财务部门所在的网络段,则销售部门中的侦听主机就不能够侦听到这些信息了。
另外,采用路由器进行网络分段外,还有一个好的副作用,就是可以减轻网络带宽的压力。若数据包在这个网络内进行传播的话,会给网络带来比较大的压力。相反,通过路由器进行网络分段,从而把数据包控制在一个比较小的范围之内,那么显然可以节省网络带宽,提高网络的性能。特别是企业在遇到DDOS等类似攻击的时候,可以减少其危害性。
3、利用虚拟局域网实现网络分段。
我们不仅可以利用路由器这种网络硬件来实现网络分段。但是,这毕竟需要企业购买路由器设备。其实,我们也可以利用一些交换机实现网络分段的功能。如有些交换机支持虚拟局域网技术,就可以利用它来实现网络分段,减少网络侦听的可能性。
虚拟局域网的分段作用跟路由器类似,可以把企业的局域网分割成一个个的小段,让数据包在小段内传输,将以太网通信变为点到点的通信,从而可以防止大部分网络监听的入侵。
不过,这毕竟还是通过网络分段来防止网络监听,所以,其也有上面所说的利用路由器来实现这个需求的缺点,就是只能够减少网络监听入侵的几率。在某个网段内,仍然不能够有效避免网络监听。
所以,比较好的方法,笔者还是推荐采用加密技术来防止网络监听给企业所带来的危害,特别似乎防止用户名、密码等关键信息被窃听。