谈局域网安全

谈局域网安全

在谈局域网安全前，得讲一下个人电脑的安全。有人认为公司里配有硬件防火墙后个人电脑就不用在装防火墙，也不用装杀毒软件;这是一种误区，其实，有调查说大多数攻击不是来于外网，而是来源于局域网内部的攻击，他可能就是你身边的一位同事，不废话，如何来提高自己电脑的安全呢？

   防火墙+杀毒软件+关闭不必要的端口和服务+定期打补丁+密码+安全意识

 

局域网安全由物理安全和逻辑安全构成

物理安全，即是实体部份安全，局域网实体是指实施信息收集、传输、存储、加工处理、分发和利用的计算机及其外部设备和网络部件，及像物理防火墙，路由器、交换机之类的具有防火墙这样的硬件。它的泄密渠道主要有四个：

（1）电磁泄露。计算机设备工作时辐射出电磁波，任何人都可以借助仪器设备在一定范围内收到它，尤其是利用高灵敏度的仪器可以稳定、清晰地看到计算机正在处理的信息。另外，网络端口、传输线路等都有可能因屏蔽不严或未加屏蔽而造成电磁泄露。实验表明，未加控制的电脑设施开始工作后，用普通电脑加上截收装置，可以在 一千米 内抄收其内容。  　　（2）非法终端。非法用户有可能在现有终端上并接一个终端，或趁合法用户从网上断开时乘机接入，使信息传到非法终端。  　　（3）搭线窃取。局域网与外界连通后，通过未受保护的外部线路，可以从外界访问到系统内部的数据，而内部通讯线路也有被搭线窃取信息的可能。  　　（4）介质的剩磁效应。存储介质中的信息被擦除后有时仍会留下可读信息的痕迹。另外，在大多数的信息系统中，删除文件仅仅是删掉文件名，而原文还原封不动地保留在存储介质中，一旦被利用，就会泄密。 

对局域网实体，采取的相应保密措施一般有以下三种：一是防电磁泄露措施。如选用低辐射设备。显示器是计算机保密的薄弱环节，而窃取显示的内容已是一项“成熟”的技术，因此，选用低辐射显示器十分必要。此外，还可以采用距离防护、噪声干扰、屏蔽等措施，把电磁泄露抑制到最低限度。二是定期对实体进行检查。特别是对文件服务器、光缆(或电缆)、终端及其他外设进行保密检查，防止非法侵入。三是加强对网络记录媒体的保护和管理。如对关键的涉密记录媒体要有防拷贝和信息加密措施，对废弃的磁盘要有专人销毁等。制定一套可行有效的安全管理措施，防止非授权用户对敏感信息的访问。

 

一：防止sniff   局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。

当前，局域网安全的解决办法有以下几种：

1．网络分段 　　网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。 　　2．以交换式集线器代替共享式集线器 　　对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。 　　因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast  Packet）和多播包（Multicast Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。 　　3．VLAN的划分 　　为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。 　　目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。 　　在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。 　　VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机（包括海关内部普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。 　　无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN（Switch Port Analyzer）功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到了交换技术的好处，又使原有的Sniffer协议分析仪“英雄有用武之地”。 二：局域网共享

局域网共享可以与他人共享该文件夹中的数据，方便了同事间的文件交换工作。但是局域网上的所有电脑都能够通过“网上邻居”看到这个共享的文件夹，为防止内部恶意攻击，可以让共享文件夹隐形。

隐藏共享文件夹：

以下有三种方法：

1.“$”辅助法　　

 在建立共享文件夹时，如果把共享名称命名为一个以“$”为结尾的字符串，比如“download$”，那么在“网上邻居”中就不会看到这个共享的文件夹了。

　2. Net命令法　　 

单击“开始”，再单击“运行”，在“打开”框中键入“NET CONFIG server /hidden:yes”，单击“确定”按钮。

3. 注册表法　　  

    单击“开始”，再单击“运行”，在“打开”框中键入“regedit”，单击“确定”按钮，打开“注册表编辑器”窗口，在左窗格中展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters”分支，在右窗格中，双击“hidden”，并将其值改为数值“ 1 ” ，单击“确定”按钮。“hidden”是一个DWORD值，如果没有，可以新建一个。

隐藏共享文件标志

上面的方法实现隐藏后还能看见共享标志(一只托文件夹的小手)，现以共享D盘为例介绍方法如下：首先利用初级隐藏法设置D盘为隐藏共享，打开注册表编辑器，依次打开“HKEY_LOCAL_MACHINE/SoftWare/Microsoft/Windows/CurrentVersion的NetworkLanMand$”(也可以利用注册表的查找功能直接查找主键“d$”)，将DWORD值“Flags”的键值由“192”改为“302”，重新启动Windows就能生效。访问时只要在地址栏中输入“计算机名d$”，即能进入。这时即使本机的资源浏览器里也看不出D盘被共享了。

假IP骗真“黑客”

也可以将局域网内的计算机名改成假的IP地址，以此来欺骗初级黑客。具体方法如下： Windows 2000/XP下，选择“我的电脑”的“属性”，在“系统属性”中选择“计算机名”标签页，将“计算机描述”后的文本框中的内容改为一个IP地址，最后点击[应用]。

以后，要使用被隐形的共享文件夹，请以“/计算机名/共享文件夹名称”形式访问共享的文件夹吧。当然，在借助“$”隐形共享时，在键入共享文件夹名称时，请不要忘记了最后的这个“$”字符。

 

此外，我们应做好数据的备份工作和利用工具来审核计算机和局域网的安全性。有了完整的数据备份，我们在遭到攻击或系统出现故障时才可能迅速恢复系统。

 

 

 

参考：happysolon《局域网安全》