关于局域网环境下若干安全问题及对策的介绍(2)
虽然局域网采用的是专网形式,但因管理及使用方面等多种原因,计算机病毒也开始在局域网出现并迅速泛滥,给网络工程安全带来一定的隐患,对数据安全造成极大威胁,妨碍了机器的正常运行,影响了工作的正常开展。如何防范计算机病毒侵入计算机局域网和确保网络的安全己成为当前面临的一个重要且紧迫的任务。
4.1 局域网病毒
局域网病毒的入侵主要来自蠕虫病毒,同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。计算机病毒表现出以下特点:传播方式和途径多样化;病毒的欺骗性日益增强病毒的传播速度极快;病毒的制作成本降低;病毒变种增多;病毒难以控制和根治;病毒传播更具有不确定性和跳跃性;病毒版本自动在线升级和自我保护能力;病毒编制采用了集成方式等。局域网病毒的传播速度快,传播范围广,危害也大。局域网病毒还特别难以清除,只要有一台工作站的病毒未被彻底清除,整个网络就有可能重新感染。
当计算机感染上病毒出现异常时,人们首先想到的是用杀毒软件来清除病毒。但令人担扰的是杀毒工具软件被广泛使用的今天,病毒的种类和数量以及所造成的损失不是逐年减少,反而是逐年增加。这表明杀毒工具软件作为病毒防范的最主要工具,已显露出重大缺陷----对病毒的防范始终滞后于病毒的出现。如何加强局域网病毒防护是保障网络信息安全的关键。
4.2 计算机局域网病毒的防治措施
计算机局域网中最主要的软硬件就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外要加强各级人员的管理 教育 及各项制度的督促落实。
(1)基于工作站的防治技术。局域网中的每个工作站就像是计算机网络的大门,只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一、是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。二、是在工作站上插防病毒卡,防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三、是在网络接口卡上安装防病病毒芯片它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。上述三种方法都是防病毒的有效手段,应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。
(2)基于服务器的防治技术。服务器是网络的核心,是网络的支柱,服务器一旦被病毒感染,便无法启动,整个网络都将陷入瘫痪状态,造成的损失是灾难性的。难以挽回和无法估量的,目前市场上基于服务器的病毒防治采用NLM方法,它以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒的能力,从而保证服务器不被病毒感染,消除了病毒传播的路径,从根本上杜绝了病毒在网络上的蔓延。
(3)加强计算机网络的管理。计算机局域网病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,才有可能从根本上保护网络系统的安全运行。一、从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员及用户加强法制教育和职业道德教育,不损人,不犯法,规范工作程序和操作规程,严惩从事非法活动的集体和个人。二、加强各级网络管理人员的专业技能学习,提高工作能力,并能及时检查网络系统中出现病毒的症状。汇报出现的新问题、新情况,做到及时发现问题解决问题,同时在网络工作站上经常做好病毒检测的工作,把好网络的第一道大门。
4.3 清除网络病毒
一旦在局域网上发现病毒,应尽快加以清除,以防网络病毒的扩散给整个系统造成更大的损失,具体过程为:
(1)立即停止使用受感染的电脑,并停止电脑与网络的联接,因为病毒会随时发作,继续使用受感染的电脑,只会加速该病毒的扩散,用broadcast命令通知包括系统管理员在内的所有用户退网,关闭文件服务器。
(2)用干净的系统盘启动系统管理员工作站,并立即清除本机工作站中含有的病毒。
(3)用干净的系统盘启动文件服务器,系统管理员登录后,使用disable longin禁止其他用户登录。
(4)用防病毒软件扫描服务器上所有卷的文件,恢复或删除被感染的文件,重新安装被删除的文件。
(5)若没有最新的备份文件,可尝试使用杀毒软件把病毒清除,对在已染毒网络上存取过的软盘进行消毒。
(6)确信网络病毒已全部彻底清除后,重新启动网络及各工作站。
5.局域网安全防范系统
5.1 防火墙系统
5.1.1 防火墙概述
防火墙是一种用来增强内部网络安全性的系统,它将网络隔离为内部网和外部网,从某种程度上来说,防火墙是位于内部网和外部网之间的桥梁和检查站,它一般由一台和多台计算机构成,它对内部网和外部网的数据流量进行分析、检测、管理和控制,通过对数据的筛选和过滤,来防止未授权的访问进出内部计算机网,从而达到保护内部网资源和信息的目的。
防火墙是指设置在不同网络(如可信任的 企业 内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
5.1.2 防火墙的体系结构
5.1.2.1 双重宿主主机体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个 网络 接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。
5.1.2.2 被屏蔽主机体系结构
双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开,如图4所示。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。
这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。数据包过滤容许堡垒主机开放可允许的连接(什么是"可允许连接"将由你的站点的特殊的安全策略决定)到外部世界。
在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行:
(1)允许其它的内部主机为了某些服务开放到Internet上的主机连接(允许那些经由数据包过滤的服务);
(2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。
5.1.2.3 被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器。
5.1.3 防火墙的功能
5.1.3.1 数据包过滤技术
数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术.选择好依据系统内设置的过滤规则后,只有满足过滤规则的数据包才被转发至相应的网络接口,而其余数据包则从数据流中被丢弃。数据包过滤技术是防火墙中最常用的技术。对于一个危险的网络,用这种方法可以阻塞某些主机和网络连入内部网络,也可限制内部人员对一些站点的访问。包过滤型防火墙工作在OSI 参考 模型的网络层和传输层,它根据数据包头源地址,目的地址,端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才被转发到相应目的地,其余数据包则被数据流中阻挡丢弃。
5.1.3.2 网络地址转换技术
网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准,用户必须要为网络中每一台机器取得注册的IP地址[ 7 ] 。在内部网络通过安全网卡访
问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问7 ] 。防火墙根据预先定义好的映射规则来判断这个访问是否安全和接受与否。网络地址转换过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
5.1.3.3 代理技术
代理技术是在应用层实现防火墙功能,代理服务器执行内部网络向外部网络申请时的中转连接作用。
代理侦听网络内部客户的服务请求,当一个连接到来时,首先进行身份验证,并根据安全策略决定是否中转连接。当决定转发时,代理服务器上的客户进程向真正的服务器发出请求,服务器返回代理服务器转发客户机的数据。
另一种情况是,外部网通过代理访问内部网,当外部网络节点提出服务请求时,代理服务器首先对该用户身份进行验证。若为合法用户,则把该请求转发给真正的某个内部网络的主机。而在整个服务过程中,应用代理一直监控着用户的操作,一旦用户进行非法操作,就可以进行干涉,并对每一个操作进行记录。若为不合法用语,则拒绝访问。
5.1.3.4 全状态检测技术
全状态检测防火墙在包过滤的同时,检测数据包之间的关联性,数据包中动态变化的状态码。它有一个检测引擎,在网关上执行网络安全策略。监测引擎采用抽取有关数据的方法对网络通信的各层实施监督测,抽取状态信息,并动态地保存起来,作为以后执行安全策略的参考。当用户访问请求到达网关是操作系统前,状态监测器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密处理动作。
5.2 入侵检测系统
5.2.1 入侵检测系统概述
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为保证 计算 机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统
5.2.2 入侵检测原理
入侵检测跟其他检测技术有同样的原理。从一组数据中,检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹,这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统的任务是从这些混合的数据中找出是否有入侵的痕迹,并给出相关的提示和警告。
入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
第二步是信息分析,收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
第三步是结果处理,控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
5.2.3 局域网入侵检测系统的构建方法
根据CIDF规范,从功能上将IDS 划分为四个基本部分:数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。具体实现起来,一般都将数据采集子系统和数据分析子系统在Linux或Unix平台上实现,称之为数据采集分析中心;将控制台子系统在Windows NT或2000上实现,数据库管理子系统基于Access或其他功能更强大的数据库如SQL等,多跟控制台子系统结合在一起,称之为控制管理中心。构建一个基本的IDS,具体需考虑以下几个方面的内容。
首先,数据采集机制是实现IDS的基础,数据采集子系统位于IDS的最底层,其主要目的是从网络环境中获取事件,并向其他部分提供事件。这就需要使用网络监听来实现审计数据的获取,可以通过对网卡工作模式的设置为“混杂”模式实现对某一段网络上所有数据包的捕获。然后,需要构建并配置探测器,实现数据采集功能。应根据自己网络的具体情况,选用合适的软件及硬件设备,如果网络数据流量很小,用一般的PC机安装Linux即可,如果所监控的网络流量非常大,则需要用一台性能较高的机器;在服务器上开出一个日志分区,用于采集数据的存储;接着应进行有关软件的安装与配置,至此系统已经能够收集到网络数据流了。
其次,应建立数据分析模块。数据分析模块相当于IDS的大脑,它必须具备高度的“智慧”和“判断能力”,所以,在设计此模块之前,需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入地研究,然后制订相应的安全规则库和安全策略,再分别建立滥用检测模型和异常检测模型,让机器模拟自己的分析过程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给控制管理中心。设计数据分析模块的工作量浩大,需要不断地更新、升级、完善。在这里需要特别注意3个问题。应优化检测模型和算法的设计,确保系统的执行效率;安全规则的制订要充分考虑包容性和可扩展性,以提高系统的伸缩性;报警消息要遵循特定的标准格式,增强其共享与互操作能力,切忌随意制订消息格式的不规范做法。
第三,需要构建控制台子系统。控制台子系统负责向网络管理员汇报各种网络违规行为,并由管理员对一些恶意行为采取行动(如阻断、跟踪等)。控制台子系统的主要任务有:管理数据采集分析中心,以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息;根据安全策略进行一系列的响应动作,以阻止非法行为,确保网络的安全。控制台子系统的设计重点是:警报信息查询、探测器管理、规则管理及用户管理。
第四,需要构建数据库管理子系统。一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息,还应详细地记录现场数据,以便于日后需要取证时重建某些网络事件。数据库管理子系统的前端程序通常与控制台子系统集成在一起,用Access或其他数据库存储警报信息和其他数据。
第五,完成综合调试。以上几步完成之后,一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来,还需要保持各个部分之间安全、顺畅地通信和交互,这就是综合调试工作所要解决的问题,主要包括要实现数据采集分析中心和控制管理中心之间的双向通信及保证通信的安全性,最好对通信数据流进行加密操作,以防止被窃听或篡改。同时,控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作,如警报信息查询、网络事件重建等。经过综合调试后,一个基本的IDS就构建完成了,但是此时还不能放松警惕,因为在以后的应用中要不断地对它进行维护,特别是其检测能力的提高;同时还要注意与防火墙等其它系统安全方面的软件相配合,以期从整体性能上提高局域网的安全能力。
6.局域网安全防范策略
一个网络的防病毒体系是建立在每个局域网的防病毒系统上的,应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。
6.1 划分VLAN 防止网络侦听
运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。
6.2 网络分段
局域网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。所以网络分段是保证局域网安全的一项重要措施。
6.3 以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是:用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
6.4 实施IP/MAC 绑定
很多网关软件实施流量过滤时都是基于IP或MAC地址,对控制普通用户起到了很好的效果,但对于高级用户就显得无能为力了,因为不管是IP或是MAC地址都可以随意修改。要实施基于IP或MAC地址过滤的访问控制,就必须进行IP/MAC地址的绑定,禁止用户对IP或MAC的修改。首先通过交换机实施用户与交换机端口的MAC绑定,再通过服务器网络管理实施IP/MAC绑定,这样用户既不能改网卡的MAC地址,也不能改IP地址。通过IP/MAC绑定后,再实施流量过滤就显得有效多了。
7. 总结
网络安全技术和病毒防护是一个涉及多方面的系统工程,在实际工作中既需要综合运用以上方法,还要将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此,局域网安全不是一个单纯的技术问题,它涉及整个网络安全系统,包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁,不断健全网络的相关法规,提高网络安全防范的技术是否被授权,从而阻止对信息资源的非法用户使用网络系统时所进行的所有活动的水平,才能有力地保障网络安全。