从海关局域网简析局域网安全

2023-09-15 16:56:38

目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网上所接收,也同时为处在同一以太网上的任何一个节点的网上所以截取,因此,黑客只要接入以太网上的任一节点进行侦听,就可以欣喜捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。事实上,Internet上许多免费的黑客工具,如SAT...

目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网上所接收,也同时为处在同一以太网上的任何一个节点的网上所以截取,因此,黑客只要接入以太网上的任一节点进行侦听,就可以欣喜捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。

事实上,Internet上许多免费的黑客工具,如SATAN,ISS,NETCAT等等,都把以太网侦听作为其最基本的手段。

当前,局域网安全的解决办法有以下几种:

1、网络分段

网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。

目前,海关的局域网大多采用以交换机为中心,路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全。例如:在海关系统中普遍使用的DEC MultiSwtch 900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上在这之后 基于数据链路层的物理分段。

2、以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在,这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换,而使用最广泛的分支集线器通常是共享是集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Uncast Packet)还是会被同一台集线器上的其他用户所侦听,一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。

因些,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听,当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet),所幸的是,广播包和多播包内的关键信息,要远远少于单播包。

3、VLAN的划分

为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基本网络侦听的入侵。

目前的VLAN技术主要有三种:基于交换机端口的VLAN,基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。

在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN,各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。

VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。目前,大多数的交换机(包括海关内部普通采用的DEC MultiSwatch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能,当然,这种情况下,路由转发的效率会有所下降。

无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播。都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此,如何局域网存在这样的入侵设备或者协议分析设备,就必须选用特殊的带有SPAN(Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到交换技术的好处,又使原有的Sniffer协议分析“英雄有用武之地”。

除了这些防止外部黑客的安全措施外,企业内部数据安全也是非常重要的,局域网监控就是企业内部数据安全一个有效措施,它可以进行电脑行为记录,键盘记录,远程控制等,具体可以查看洞察眼局域网管理软件功能模块。

大家还爱看

相关内容

之前有一个公司案例,是这样的: 公司名称:智慧科技有限公司 背景: 智慧科技有限公司是一家拥有数百名员工的中型企业,随着业务的快速发展,公司面临着网络管理上的挑战。 员工在日常工作中需要频繁地访问公司内部的文件和资源,但由于缺乏有效的局域网管理软件,公司经常面临数据泄露、非法访问和网络安全问题。 存在的问题: 1,数据...
想要在局域网内可以监控他人的屏幕的方法,无疑是使用一款,屏幕监控软件了。 什么是局域网屏幕监控软件? 局域网屏幕监控软件是一种专门用于监控局域网内电脑屏幕活动的软件工具。它通常集成在局域网监控系统中,能够实时捕捉和记录局域网内各台电脑屏幕上的操作行为,并将这些信息传输到监控中心或指定的管理设备上。 局域网屏幕监控软件有...
很多企业都有局域网屏幕监管的需求: 上述对话不是个例,可见,在企业中对员工进行监管是很多管理者相信并看重的有效的管理措施。 如何进行屏幕监管,我们通过一家公司的例子来了解一下这家公司的使用效果。 实例讲解: 某大型金融公司为了规范员工在工作时间内的电脑使用行为,提高工作效率,在选择问询了软件之后最终决定引入洞察眼软件。...
局域网电脑监控软件是一种用于监控局域网内电脑使用情况的软件。它可以监控电脑的屏幕、操作、应用程序、网络活动等各种信息,以帮助企业或组织更好地管理员工、保障网络安全和保护机密信息。 局域网电脑监控软件通常采用以下几种技术来实现监控功能: 一、屏幕录制和实时监控 可以通过屏幕录制和实时监控技术,实时监控目标电脑的屏幕内容,...
不知不觉间2023年又到结尾了,今年我们服务过很多想要电脑监控软件的客服,也服务了很多想要加密软件的客户。 这一年,我们走得不疾不徐,走得稳而坚定;这一年,我们累积服务超过万计客户;这一年,我们成长了很多。 同时,我们也累积为大家写作了很多信息安全类的文章,今天也继续为大家分享5大好用的局域网监控软件: 1、洞察眼软件...
现在的网络环境越来越复杂,很多企业和员工之间是一种表现上平和,按时私下却比较对立的情景。 很多企业主会选择利用局域网上网行为监控软件来对员工的上网行为进行管控。 洞察眼软件 这是一款功能强大的局域网监控软件,操作简单,可以实现批量管理局域网内的办公电脑,也可以根据具体工作需求分部门实施不同的管理策略。管理者可以使用该软...