我們在電視或者電影中經常會看到這樣的情景����,間諜或者警察�����,在某戶人家的電話線總線上����,拉出一根電話分線�,對這個電話進行竊聽。現在這種方法在網絡中也逐漸蔓延開來�����。
由于局域網中采用的是廣播方式,因此在某個廣播域中(往往是一個企業局域網就是一個廣播域)����,可以監聽到所有的信息報。而非法入侵者通過對信息包進行分析���,就能夠非法竊取局域網上傳輸的一些重要信息��。如現在很多黑客在入侵時�,都會把局域網稍描與監聽作為他們入侵之前的準備工作���。因為憑這些方式,他們可以獲得用戶名����、密碼等重要的信息。如現在不少的網絡管理工具��,號稱可以監聽別人發送的郵件內容�����、即時聊天信息���、訪問網頁的內容等等�,也是通過網絡監聽來實現的�?����?梢?����,網絡監聽是一把雙刃劍����,用到正處����,可以幫助我們管理員工的網絡行為;用的不好��,則會給企業的網絡安全以致命一擊���。
一、監聽的工作原理����。
要有效防止局域網的監聽�����,則首先需要對局域網監聽的工作原理有一定的了解�。知己知彼,百戰百勝�。只有如此,才能有針對性的提出一些防范措施����。
現在企業局域網中常用的網絡協議是“以太網協議”��。而這個協議有一個特點�����,就是某個主機A如果要發送一個主機給B��,其不是一對一的發送���,而是會把數據包發送給局域網內的包括主機B在內的所有主機�。在正常情況下����,只有主機B才會接收這個數據包�。其他主機在收到數據包的時候,看到這個數據庫的目的地址跟自己不匹配��,就會把數據包丟棄掉�。
但是,若此時局域網內有臺主機C����,其處于監聽模式。則這臺數據不管數據包中的ip地址是否跟自己匹配��,就會接收這個數據包��,并把數據內容傳遞給上層進行后續的處理����。這就是網絡監聽的基本原理���。
在以太網內部傳輸數據時,包含主機唯一標識符的物理地址(MAC地址)的幀從網卡發送到物理的線路上�,如網線或者光纖����。此時,發個某臺特定主機的數據包會到達連接在這線路上的所有主機���。當數據包到達某臺主機后���,這臺主機的網卡會先接收這個數據包���,進行檢查。如果這個數據包中的目的地址跟自己的地址不匹配的話,就會丟棄這個包�。如果這個數據包中的目的地址跟自己地址匹配或者是一個廣播地址的話,就會把數據包交給上層進行后續的處理�����。在這種工作模式下���,若把主機設置為監聽模式���,則其可以了解在局域網內傳送的所有數據。如果這些數據沒有經過加密處理的話��,那么后果就可想而知了�����。
二��、常見的防范措施���。
1����、采用加密技術�����,實現密文傳輸�。
從上面的分析中�����,我們看到,若把主機設置為監聽模式的話����,則局域網中傳輸的任何數據都可以被主機所竊聽�。但是,若竊聽者所拿到的數據是被加密過的����,則其即使拿到這個數據包,也沒有用處���,無法解密��。這就好像電影中的電報����,若不知道對應的密碼,則即使獲得電報的信息����,對他們來說��,也是一無用處���。
所以���,比較常見的防范局域網監聽的方法就是加密�。數據經過加密之后��,通過監聽仍然可以得到傳送的信息��,但是�����,其顯示的是亂碼���。結果是�,其即使得到數據���,也是一堆亂碼,沒有多大的用處���。
現在針對這種傳輸的加密手段有很多����,最常見的如IPSec協議����。Ipsec 有三種工作模式,一是必須強制使用����,二是接收方要求,三是不采用���。當某臺主機A向主機B發送數據文件的時候���,主機A與主機B是會先進行協商,其中包括是否需要采用IPSec技術對數據包進行加密����。一是必須采用����,也就是說,無論是主機A還是主機B都必須支持IPSec�����,否則的話�,這個傳輸將會以失敗告終。二是請求使用�,如在協商的過程中,主機A會問主機B����,是否需要采用IPSec�。若主機B回答不需要采用��,則就用明文傳輸,除非主機A的IPSec策略設置的是必須強制使用�。若主機B回答的是可以用IPSec加密,則主機A就會先對數據包進行加密��,然后再發送�。經過IPSec技術加密過的數據�����,一般很難被破解�。而且�,重要的是這個加密、解密的工作對于用戶來說���,是透明的。也就是說��,我們網絡管理員之需要配置好IPSec策略之后���,員工不需要額外的動作����。是否采用IPSec加密��、不采用會有什么結果等等�,員工主機之間會自己進行協商����,而不需要我們進行額外的控制����。
在使用這種加密手段的時候���,唯一需要注意的就是如何設置IPSec策略�。也就是說����,什么時候采用強制加密,說明時候采用可有可無的���。若使用強制加密的情況下�,一定要保證通信的雙方都支持IPSec技術�,否則的話,就可能會導致通信的不成功�。最懶的方法,就是不管三七二十一���,給企業內的所有電腦都配置IPSec策略。雖然���,都會在增加一定的帶寬,給網絡帶來一定的壓力����,但是����,基本上,這不會對用戶產生多大的直接影響��。或者說�����,他們不能夠直觀的感受到由于采用了IPSec技術而造成的網絡性能減慢�。
2����、利用路由器等網絡設備對網絡進行物理分段�����。
我們從上面的以太網工作原理的分析中可以知道����,如果銷售部門的某位銷售員工發送給銷售經理的一份文件���,會在公司整個網絡內進行傳送�。我們若能夠設計一種方案�����,可以讓銷售員工的文件直接給銷售經理�,或者至少只在銷售部門內部的員工可以收的到的話�,那么,就可以很大程度的降低由于網絡監聽所導致的網絡安全的風險���。
如我們可以利用路由器來分離廣播域�。若我們銷售部門跟其他部門之間不是利用共享式集線器或者普通交換機進行連接����,而是利用路由器進行連接的話����,就可以起到很好的防范局域網監聽的問題。如此時����,當銷售員A發信息給銷售經理B的時候���,若不采用路由器進行分割����,則這份郵件會分成若干的數據包在企業整個局域網內部進行傳送。相反���,若我們利用路由器來連接銷售部門跟其他部門的網絡�,則數據包傳送到路由器之后����,路由器會檢查數據包的目的IP地址�����,然后根據這個IP地址來進行轉發�。此時,就只有對應的IP地址網絡可以收到這個數據包����,而其他不相關的路由器接口就不會收到這個數據包。很明顯���,利用路由器進行數據報的預處理�����,就可以有效的減少數據包在企業網絡中傳播的范圍,讓數據包能夠在最小的范圍內傳播�。
不過,這個利用路由器來分段的話��,有一個不好地地方��,就是在一個小范圍內仍然可能會造成網絡監聽的情況���。如在銷售部門這個網絡內�����,若有一臺主機被設置為網絡監聽�,則其雖然不能夠監聽到銷售部門以外的網絡����,但是,對于銷售部門內部的主機所發送的數據包�,仍然可以進行監聽����。如財務經理發送一份客戶的應手帳款余額表給銷售經理的話�����,有路由器轉發到銷售部門的網絡后�����,這個數據包仍然會到達銷售部門網絡內地任一主機�����。如此的話��,只要銷售網絡中有一臺網絡主機被設置為監聽�����,就仍然可以竊聽到其所需要的信息。不過若財務經理發送這份文件給總經理���,由于總經理的網段不在銷售部門的網段���,所以數據包不會傳送給財務部門所在的網絡段,則銷售部門中的偵聽主機就不能夠偵聽到這些信息了����。
另外,采用路由器進行網絡分段外�����,還有一個好的副作用���,就是可以減輕網絡帶寬的壓力����。若數據包在這個網絡內進行傳播的話�����,會給網絡帶來比較大的壓力�����。相反�,通過路由器進行網絡分段,從而把數據包控制在一個比較小的范圍之內�����,那么顯然可以節省網絡帶寬,提高網絡的性能����。特別是企業在遇到DDOS等類似攻擊的時候����,可以減少其危害性。
3����、利用虛擬局域網實現網絡分段�。
我們不僅可以利用路由器這種網絡硬件來實現網絡分段�。但是,這畢竟需要企業購買路由器設備���。其實�����,我們也可以利用一些交換機實現網絡分段的功能���。如有些交換機支持虛擬局域網技術����,就可以利用它來實現網絡分段����,減少網絡偵聽的可能性����。
虛擬局域網的分段作用跟路由器類似,可以把企業的局域網分割成一個個的小段��,讓數據包在小段內傳輸���,將以太網通信變為點到點的通信,從而可以防止大部分網絡監聽的入侵���。
不過�����,這畢竟還是通過網絡分段來防止網絡監聽,所以,其也有上面所說的利用路由器來實現這個需求的缺點�����,就是只能夠減少網絡監聽入侵的幾率�����。在某個網段內��,仍然不能夠有效避免網絡監聽�。
所以���,比較好的方法����,筆者還是推薦采用加密技術來防止網絡監聽給企業所帶來的危害����,特別似乎防止用戶名����、密碼等關鍵信息被竊聽。
