通過採用以下四個步驟,你能夠減輕保護網路的壓力。下面是一些加強你的網路防護的方法。
最近,微軟在宣傳如果你想要得到一個真正安全的網路,你必須關注5個重要的領域。這些領域包括周邊防護,網路防護,應用防護,資料防護,和主機防護。在本文中,我將討論網路防護,幫助獲得深度安全。
第一步:使用內部防火牆
網路防護不包含外部防護牆,但這並不意味著它完全不涉及防火牆。相反,我所建議的網路防護的第一步就是在可能的情況下使用內部防火牆。內部防火牆同外部防火牆一樣是安全的基礎。兩者主要的區別在於內部防火牆的主要工作是保護你的機器不受內部通訊的傷害。有很多使用內部防火牆的理由。
首先,想象一下,如果一個黑客或者某種病毒以某種方式控制了你的外部防火牆,那麼他就可以不受防火牆阻礙地同內部網路進行通訊。通常,這意味著你的網路對於外部世界完全敞開。但是,如果你有內部防火牆,那麼內部防火牆會阻止從外部防火牆裡溜進來的惡意的資料包。
使用內部防火牆的另一個主要的原因是很多攻擊都是內部的。首先,你可能聽說過這種說法,並且認為內部攻擊不太可能出現在你的網路中,但是我在我所工作過的每一家公司的安全部門裡,都見過內部攻擊。
在我曾經工作過的兩個地方,其他部門的有些人是黑客或者對管理權狂熱愛好。他們會認為探測網路以獲得儘可能多的資訊是一件很酷而且很值得炫耀的事情。在這兩個地方,他們都沒有任何主觀上的惡意(或者說他們都宣告自己沒有惡意),他們只是想在朋友面前炫耀自己能夠攻擊系統。不論他們的動機如何,他們確實給網路安全造成了危害。你必須防範你的網路受到這樣的人的攻擊。
在我工作過的其他一些地方,我看到人們未經授權就自己安裝軟體,而這些軟體中卻包含了特洛伊木馬。這些特洛伊木馬進入系統後就可以通過特定埠將你的資訊廣播出去。防火牆很難阻止惡意的資料包進入網路,因為資料包已經在網路之中了。
這些事實導致了一個有趣的現象:我認識的絕大部分技術人員都讓他們的外部防火牆阻止絕大部分流入網路的通訊包,但是卻對於流出的通訊包卻不加限制。我建議要對流出的通訊也要像對待流入的通訊一樣謹慎,因為你永遠不會知道,什麼時候會有一個特洛伊木馬躲在你的網路裡,向外廣播你網路中的資訊。
內部防火牆可以放在任何一臺電腦上或者任何一臺伺服器上。市場上有一些很好的個人防火牆產品,比如賽門鐵克Norton Personal Firewall 2003。但是因為Windows XP自帶了一個內建個人防火牆,所以你並不一定要為你的工作站花錢購買獨立的個人防火牆。
如果你想使用Windows XP防火牆,用滑鼠右鍵點選“我的網路”,然後從快捷選單中選擇“屬性”來開啟“網路連線”視窗。接下來,用滑鼠右鍵點選你想要保護的網路聯接並選擇屬性。現在,選擇高階選單,然後點選網際網路連線防火牆選項。你可以使用“設定”按鈕來選擇保持開放的埠。雖然Windows XP防火牆是一個網際網路防火牆,它也可以被作為內部防火牆使用。
第二步:網路通訊加密
我建議的下一個步驟對於你的網路通訊進行加密。只要可能的話,就要採用IPSec。因此,你需要了解IPSec安全性。
如果你配置一臺機器使用IPSec,你應該對於進行雙向加密。如果你讓IPSec要求加密,那麼當其他的機器試圖連線到你的機器上的時候,就會被告之需要加密。如果其他機器有IPSec加密的能力,那麼在通訊建立的開始就能夠建立一個安全的通訊通道。另一方面,如果其他機器沒有IPSec加密的能力,那麼通訊程序就會被拒絕,因為所要求的加密沒有實現。
請求加密選項則略有不同。當一個機器請求聯接,它也會要求加密。如果兩臺機器都支援IPSec機密,那麼就會在兩臺機器之間建立起一個安全的通路,通訊就開始了。如果其中一臺機器不支援IPSec加密,那麼通訊程序也會開始,但是資料卻沒有被加密。
由於這個原因,我提供一些建議。首先,我建議把一個站點內所有的伺服器放在一個安全的網路中。這個網路應該完全同平常的網路分開。使用者需要訪問的每一臺伺服器都應該有兩塊網絡卡,一個聯接到主要網路,另一個聯接到私有伺服器網路。這個伺服器網路應該只包含伺服器,而且應該有專用的集線器或者交換機。
這樣做,你需要在伺服器之間建立專用的骨幹網。所有的基於伺服器的通訊,比如RPC通訊或者是複製所使用的通訊就能夠在專用骨幹網裡進行。這樣,你就能夠保護基於網路的通訊,你也能夠提高主要網路的可用頻寬的數量。
接下來,我推薦使用IPSec。對於只有伺服器的網路,應該要求IPSec加密。畢竟這個網路裡只有伺服器,所以除非你有UNIX、Linux、Macintosh或者其他非微軟的伺服器,你的伺服器沒有理由不支援IPSec。因此你可以很放心地要求IPSec加密。
現在,對於連線到重要網路上的所有工作站和伺服器,你應該讓機器要求加密。這樣,你就能夠在安全性和功能性之間獲得一個優化平衡。
不幸的是,IPSec不能區分在多臺家庭電腦上網路介面卡。因此,除非一臺伺服器是處在伺服器網路之外,你可能會需要使用請求加密選項,否則其他的客戶端就不能夠訪問該伺服器。
當然IPSec並不是你網路通訊所能選擇的唯一加密方式。你還必須考慮你要如何保護通過你的網路周邊以及通向你無線網路的通訊。
今天談論無線加密還有點困難,因為無線網路裝置還在發展。大部分網路管理員都認為無線網路是不安全的,因為網路通訊包是在開放空間傳播的,任何一個人都可以用帶有無線NIC卡的膝上型電腦截獲這些通訊包。
雖然無線網路確實存在一些風險,但是從某種角度來說,無線網路甚至比有線網路更安全。這是因為無線通訊主要的加密機制是WEP加密。WEP加密從40位到152位甚至更高。實際的長度取決於最低的通訊參與者。例如,如果你的接入點支援128位WEP加密,但是你的一個無線網路使用者裝置只支援64位WEP加密,那麼你就只能獲得64位加密。但是目前基本上所有的無線裝置都至少支援128位加密。
很多管理員並沒有意識到的事情是,雖然無線網路可以使用WEP加密,但是這並不是他們能夠使用的唯一的加密方式。WEP加密僅僅是對所有通過網路的通訊進行加密。它對於自己所加密的是何種型別的資料並不關心。因此,如果你已經使用了IPSec來加密資料,那麼WEP就能夠對已經加密的資料進行第二重加密。
第三步:網路隔離
如果你的公司非常大,那麼你很有可能有一臺Web伺服器作為公司網站的主機。如果這臺網絡伺服器不需要訪問後臺資料庫或者你私有網路中的其他資源的話,那麼就沒有理由把它放在你的私有網路中。既然你可以把這臺伺服器和你自己的網路隔離開來,那為什麼要把它放在私有網路內部,給黑客一個進入你私有網路的機會呢?
如果你的Web伺服器需要訪問資料庫或者私有網路中的其他資源,那麼我建議你在你的防火牆和網路伺服器之間放置一臺ISA伺服器。網際網路使用者同ISA伺服器進行通訊,而不是直接通過Web伺服器訪問。ISA伺服器將代理使用者和Web伺服器之間的請求。你就能在Web伺服器和資料庫伺服器建立起一個IPSec連線,並在Web伺服器和ISA伺服器之間建立起了一個SSL聯接。
第四步:包監聽
在你已經採取了所有必要的步驟來保護經過你的網路中的通訊之後,我建議偶爾採用包監聽來監視網路通訊。這僅僅是一個預防措施,因為它幫助你瞭解在你的網路中究竟發生了哪些型別的通訊。如果你發現了意料不到的通訊包型別,你就可以查詢到這些包的來源。
協議分析器的最大問題在於它可能被黑客所利用,成為黑客手中的利器。由於包監聽的特性,我曾經認為不可能探測出誰在我的網路中進行包監聽。包監聽僅僅是監視線纜中發生的通訊。由於包監聽不改變通訊包,那又怎麼能夠知道誰在進行監聽呢?
其實檢查包監聽比你想象的要容易得多。你所需要的僅僅是一臺機器作為誘餌。誘餌機器應該是一臺除了你之外任何人都不知道它存在的工作站。確保你的誘餌機器有一個IP地址,但是不在域之中。現在把誘餌機器連線到網路中,並讓它產生一些通訊包。如果有人在監聽網路。監聽這就會發現這些由誘餌機器所發出的通訊包。問題在於監聽者會知道誘餌機器的IP地址,但是卻不知道它的主機名。通常,監聽者會進行一次DNS查詢,試圖找到這臺機器的主機名。由於你是唯一知道這臺機器存在的人,沒有人會進行DNS查詢來尋找這臺機器。所以,如果你發現DNS日誌中有人進行DNS查詢來查詢你的誘餌機器,那麼你就有理由懷疑這臺機器被利用來監聽網路了。