學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 局域網(wǎng)知識(shí) > 關(guān)于局域網(wǎng)環(huán)境下若干安全問題及對(duì)策的介紹(2)

關(guān)于局域網(wǎng)環(huán)境下若干安全問題及對(duì)策的介紹(2)

時(shí)間: 曉斌668 分享

關(guān)于局域網(wǎng)環(huán)境下若干安全問題及對(duì)策的介紹

4.計(jì)算機(jī)局域網(wǎng)病毒及防治

  雖然局域網(wǎng)采用的是專網(wǎng)形式,但因管理及使用方面等多種原因,計(jì)算機(jī)病毒也開始在局域網(wǎng)出現(xiàn)并迅速泛濫,給網(wǎng)絡(luò)工程安全帶來一定的隱患,對(duì)數(shù)據(jù)安全造成極大威脅,妨礙了機(jī)器的正常運(yùn)行,影響了工作的正常開展。如何防范計(jì)算機(jī)病毒侵入計(jì)算機(jī)局域網(wǎng)和確保網(wǎng)絡(luò)的安全己成為當(dāng)前面臨的一個(gè)重要且緊迫的任務(wù)。

  4.1 局域網(wǎng)病毒

  局域網(wǎng)病毒的入侵主要來自蠕蟲病毒,同時(shí)集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)。計(jì)算機(jī)病毒表現(xiàn)出以下特點(diǎn):傳播方式和途徑多樣化;病毒的欺騙性日益增強(qiáng)病毒的傳播速度極快;病毒的制作成本降低;病毒變種增多;病毒難以控制和根治;病毒傳播更具有不確定性和跳躍性;病毒版本自動(dòng)在線升級(jí)和自我保護(hù)能力;病毒編制采用了集成方式等。局域網(wǎng)病毒的傳播速度快,傳播范圍廣,危害也大。局域網(wǎng)病毒還特別難以清除,只要有一臺(tái)工作站的病毒未被徹底清除,整個(gè)網(wǎng)絡(luò)就有可能重新感染。

  當(dāng)計(jì)算機(jī)感染上病毒出現(xiàn)異常時(shí),人們首先想到的是用殺毒軟件來清除病毒。但令人擔(dān)擾的是殺毒工具軟件被廣泛使用的今天,病毒的種類和數(shù)量以及所造成的損失不是逐年減少,反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具,已顯露出重大缺陷----對(duì)病毒的防范始終滯后于病毒的出現(xiàn)。如何加強(qiáng)局域網(wǎng)病毒防護(hù)是保障網(wǎng)絡(luò)信息安全的關(guān)鍵。

  4.2 計(jì)算機(jī)局域網(wǎng)病毒的防治措施

  計(jì)算機(jī)局域網(wǎng)中最主要的軟硬件就是服務(wù)器和工作站,所以防治計(jì)算機(jī)網(wǎng)絡(luò)病毒應(yīng)該首先考慮這兩個(gè)部分,另外要加強(qiáng)各級(jí)人員的管理 教育 及各項(xiàng)制度的督促落實(shí)。

  (1)基于工作站的防治技術(shù)。局域網(wǎng)中的每個(gè)工作站就像是計(jì)算機(jī)網(wǎng)絡(luò)的大門,只有把好這道大門,才能有效防止病毒的侵入。工作站防治病毒的方法有三種:一、是軟件防治,即定期不定期地用反病毒軟件檢測(cè)工作站的病毒感染情況。二、是在工作站上插防病毒卡,防病毒卡可以達(dá)到實(shí)時(shí)檢測(cè)的目的,但防病毒卡的升級(jí)不方便,從實(shí)際應(yīng)用的效果看,對(duì)工作站的運(yùn)行速度有一定的影響。三、是在網(wǎng)絡(luò)接口卡上安裝防病病毒芯片它將工作站存取控制與病毒防護(hù)合二為一,可以更加實(shí)時(shí)有效地保護(hù)工作站及通向服務(wù)器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級(jí)不便的問題,而且對(duì)網(wǎng)絡(luò)的傳輸速度也會(huì)產(chǎn)生一定的影響。上述三種方法都是防病毒的有效手段,應(yīng)根據(jù)網(wǎng)絡(luò)的規(guī)模、數(shù)據(jù)傳輸負(fù)荷等具體情況確定使用哪一種方法。

  (2)基于服務(wù)器的防治技術(shù)。服務(wù)器是網(wǎng)絡(luò)的核心,是網(wǎng)絡(luò)的支柱,服務(wù)器一旦被病毒感染,便無法啟動(dòng),整個(gè)網(wǎng)絡(luò)都將陷入癱瘓狀態(tài),造成的損失是災(zāi)難性的。難以挽回和無法估量的,目前市場(chǎng)上基于服務(wù)器的病毒防治采用NLM方法,它以NLM模塊方式進(jìn)行程序設(shè)計(jì),以服務(wù)器為基礎(chǔ),提供實(shí)時(shí)掃描病毒的能力,從而保證服務(wù)器不被病毒感染,消除了病毒傳播的路徑,從根本上杜絕了病毒在網(wǎng)絡(luò)上的蔓延。

  (3)加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的管理。計(jì)算機(jī)局域網(wǎng)病毒的防治,單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來,才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。一、從硬件設(shè)備及軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個(gè)環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度,對(duì)網(wǎng)絡(luò)系統(tǒng)的管理員及用戶加強(qiáng)法制教育和職業(yè)道德教育,不損人,不犯法,規(guī)范工作程序和操作規(guī)程,嚴(yán)懲從事非法活動(dòng)的集體和個(gè)人。二、加強(qiáng)各級(jí)網(wǎng)絡(luò)管理人員的專業(yè)技能學(xué)習(xí),提高工作能力,并能及時(shí)檢查網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)病毒的癥狀。匯報(bào)出現(xiàn)的新問題、新情況,做到及時(shí)發(fā)現(xiàn)問題解決問題,同時(shí)在網(wǎng)絡(luò)工作站上經(jīng)常做好病毒檢測(cè)的工作,把好網(wǎng)絡(luò)的第一道大門。

  4.3 清除網(wǎng)絡(luò)病毒

  一旦在局域網(wǎng)上發(fā)現(xiàn)病毒,應(yīng)盡快加以清除,以防網(wǎng)絡(luò)病毒的擴(kuò)散給整個(gè)系統(tǒng)造成更大的損失,具體過程為:

  (1)立即停止使用受感染的電腦,并停止電腦與網(wǎng)絡(luò)的聯(lián)接,因?yàn)椴《緯?huì)隨時(shí)發(fā)作,繼續(xù)使用受感染的電腦,只會(huì)加速該病毒的擴(kuò)散,用broadcast命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶退網(wǎng),關(guān)閉文件服務(wù)器。

  (2)用干凈的系統(tǒng)盤啟動(dòng)系統(tǒng)管理員工作站,并立即清除本機(jī)工作站中含有的病毒。

  (3)用干凈的系統(tǒng)盤啟動(dòng)文件服務(wù)器,系統(tǒng)管理員登錄后,使用disable longin禁止其他用戶登錄。

  (4)用防病毒軟件掃描服務(wù)器上所有卷的文件,恢復(fù)或刪除被感染的文件,重新安裝被刪除的文件。

  (5)若沒有最新的備份文件,可嘗試使用殺毒軟件把病毒清除,對(duì)在已染毒網(wǎng)絡(luò)上存取過的軟盤進(jìn)行消毒。

  (6)確信網(wǎng)絡(luò)病毒已全部徹底清除后,重新啟動(dòng)網(wǎng)絡(luò)及各工作站。

  5.局域網(wǎng)安全防范系統(tǒng)

  5.1 防火墻系統(tǒng)

  5.1.1 防火墻概述

  防火墻是一種用來增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性的系統(tǒng),它將網(wǎng)絡(luò)隔離為內(nèi)部網(wǎng)和外部網(wǎng),從某種程度上來說,防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站,它一般由一臺(tái)和多臺(tái)計(jì)算機(jī)構(gòu)成,它對(duì)內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進(jìn)行分析、檢測(cè)、管理和控制,通過對(duì)數(shù)據(jù)的篩選和過濾,來防止未授權(quán)的訪問進(jìn)出內(nèi)部計(jì)算機(jī)網(wǎng),從而達(dá)到保護(hù)內(nèi)部網(wǎng)資源和信息的目的。

  防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的 企業(yè) 內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。

  5.1.2 防火墻的體系結(jié)構(gòu)

  5.1.2.1 雙重宿主主機(jī)體系結(jié)構(gòu)

  雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè) 網(wǎng)絡(luò) 接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器;它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)(如外部網(wǎng)絡(luò))直接發(fā)送到另一個(gè)網(wǎng)絡(luò)(如內(nèi)部網(wǎng)絡(luò))。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信,內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信,它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。

  5.1.2.2 被屏蔽主機(jī)體系結(jié)構(gòu)

  雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開,如圖4所示。在這種體系結(jié)構(gòu)中,主要的安全由數(shù)據(jù)包過濾提供(例如,數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連)。

  這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)。因此堡壘主機(jī)要保持更高等級(jí)的主機(jī)安全。數(shù)據(jù)包過濾容許堡壘主機(jī)開放可允許的連接(什么是"可允許連接"將由你的站點(diǎn)的特殊的安全策略決定)到外部世界。

  在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方案之一執(zhí)行:

  (1)允許其它的內(nèi)部主機(jī)為了某些服務(wù)開放到Internet上的主機(jī)連接(允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù));

  (2)不允許來自內(nèi)部主機(jī)的所有連接(強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù))。

  5.1.2.3 被屏蔽子網(wǎng)體系結(jié)構(gòu)

  被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu),即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為,兩個(gè)屏蔽路由器,每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間,另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò),侵襲者必須通過兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī),他將仍然必須通過內(nèi)部路由器。

  5.1.3 防火墻的功能

  5.1.3.1 數(shù)據(jù)包過濾技術(shù)

  數(shù)據(jù)包過慮技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包實(shí)施有選擇的通過的技術(shù).選擇好依據(jù)系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則后,只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口,而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。對(duì)于一個(gè)危險(xiǎn)的網(wǎng)絡(luò),用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò),也可限制內(nèi)部人員對(duì)一些站點(diǎn)的訪問。包過濾型防火墻工作在OSI 參考 模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址,端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過,只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地,其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。

  5.1.3.2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

  網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的外部的、注冊(cè)的IP的地址標(biāo)準(zhǔn),用戶必須要為網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址[ 7 ] 。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪

  問外部網(wǎng)絡(luò)時(shí),系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口與外部連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問7 ] 。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全和接受與否。網(wǎng)絡(luò)地址轉(zhuǎn)換過程對(duì)于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。

  5.1.3.3 代理技術(shù)

  代理技術(shù)是在應(yīng)用層實(shí)現(xiàn)防火墻功能,代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)時(shí)的中轉(zhuǎn)連接作用。

  代理偵聽網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請(qǐng)求,當(dāng)一個(gè)連接到來時(shí),首先進(jìn)行身份驗(yàn)證,并根據(jù)安全策略決定是否中轉(zhuǎn)連接。當(dāng)決定轉(zhuǎn)發(fā)時(shí),代理服務(wù)器上的客戶進(jìn)程向真正的服務(wù)器發(fā)出請(qǐng)求,服務(wù)器返回代理服務(wù)器轉(zhuǎn)發(fā)客戶機(jī)的數(shù)據(jù)。

  另一種情況是,外部網(wǎng)通過代理訪問內(nèi)部網(wǎng),當(dāng)外部網(wǎng)絡(luò)節(jié)點(diǎn)提出服務(wù)請(qǐng)求時(shí),代理服務(wù)器首先對(duì)該用戶身份進(jìn)行驗(yàn)證。若為合法用戶,則把該請(qǐng)求轉(zhuǎn)發(fā)給真正的某個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)。而在整個(gè)服務(wù)過程中,應(yīng)用代理一直監(jiān)控著用戶的操作,一旦用戶進(jìn)行非法操作,就可以進(jìn)行干涉,并對(duì)每一個(gè)操作進(jìn)行記錄。若為不合法用語(yǔ),則拒絕訪問。

  5.1.3.4 全狀態(tài)檢測(cè)技術(shù)

  全狀態(tài)檢測(cè)防火墻在包過濾的同時(shí),檢測(cè)數(shù)據(jù)包之間的關(guān)聯(lián)性,數(shù)據(jù)包中動(dòng)態(tài)變化的狀態(tài)碼。它有一個(gè)檢測(cè)引擎,在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略。監(jiān)測(cè)引擎采用抽取有關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)督測(cè),抽取狀態(tài)信息,并動(dòng)態(tài)地保存起來,作為以后執(zhí)行安全策略的參考。當(dāng)用戶訪問請(qǐng)求到達(dá)網(wǎng)關(guān)是操作系統(tǒng)前,狀態(tài)監(jiān)測(cè)器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析,結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密處理動(dòng)作。

  5.2 入侵檢測(cè)系統(tǒng)

  5.2.1 入侵檢測(cè)系統(tǒng)概述

  入侵檢測(cè)是指通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。入侵檢測(cè)技術(shù)是為保證 計(jì)算 機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)

  5.2.2 入侵檢測(cè)原理

  入侵檢測(cè)跟其他檢測(cè)技術(shù)有同樣的原理。從一組數(shù)據(jù)中,檢測(cè)出符合某一特點(diǎn)的數(shù)據(jù)。攻擊者進(jìn)行攻擊的時(shí)候會(huì)留下痕跡,這些痕跡和系統(tǒng)正常運(yùn)行的時(shí)候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測(cè)系統(tǒng)的任務(wù)是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡,并給出相關(guān)的提示和警告。

  入侵檢測(cè)的第一步是信息收集,收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息,包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。

  第二步是信息分析,收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息,被送到檢測(cè)引擎,檢測(cè)引擎駐留在傳感器中,一般通過三種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí),產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。

  第三步是結(jié)果處理,控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施,可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性,也可以只是簡(jiǎn)單的告警。

  5.2.3 局域網(wǎng)入侵檢測(cè)系統(tǒng)的構(gòu)建方法

  根據(jù)CIDF規(guī)范,從功能上將IDS 劃分為四個(gè)基本部分:數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺(tái)子系統(tǒng)、數(shù)據(jù)庫(kù)管理子系統(tǒng)。具體實(shí)現(xiàn)起來,一般都將數(shù)據(jù)采集子系統(tǒng)和數(shù)據(jù)分析子系統(tǒng)在Linux或Unix平臺(tái)上實(shí)現(xiàn),稱之為數(shù)據(jù)采集分析中心;將控制臺(tái)子系統(tǒng)在Windows NT或2000上實(shí)現(xiàn),數(shù)據(jù)庫(kù)管理子系統(tǒng)基于Access或其他功能更強(qiáng)大的數(shù)據(jù)庫(kù)如SQL等,多跟控制臺(tái)子系統(tǒng)結(jié)合在一起,稱之為控制管理中心。構(gòu)建一個(gè)基本的IDS,具體需考慮以下幾個(gè)方面的內(nèi)容。

  首先,數(shù)據(jù)采集機(jī)制是實(shí)現(xiàn)IDS的基礎(chǔ),數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層,其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件,并向其他部分提供事件。這就需要使用網(wǎng)絡(luò)監(jiān)聽來實(shí)現(xiàn)審計(jì)數(shù)據(jù)的獲取,可以通過對(duì)網(wǎng)卡工作模式的設(shè)置為“混雜”模式實(shí)現(xiàn)對(duì)某一段網(wǎng)絡(luò)上所有數(shù)據(jù)包的捕獲。然后,需要構(gòu)建并配置探測(cè)器,實(shí)現(xiàn)數(shù)據(jù)采集功能。應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況,選用合適的軟件及硬件設(shè)備,如果網(wǎng)絡(luò)數(shù)據(jù)流量很小,用一般的PC機(jī)安裝Linux即可,如果所監(jiān)控的網(wǎng)絡(luò)流量非常大,則需要用一臺(tái)性能較高的機(jī)器;在服務(wù)器上開出一個(gè)日志分區(qū),用于采集數(shù)據(jù)的存儲(chǔ);接著應(yīng)進(jìn)行有關(guān)軟件的安裝與配置,至此系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡(luò)數(shù)據(jù)流了。

  其次,應(yīng)建立數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊相當(dāng)于IDS的大腦,它必須具備高度的“智慧”和“判斷能力”,所以,在設(shè)計(jì)此模塊之前,需要對(duì)各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個(gè)很清晰、深入地研究,然后制訂相應(yīng)的安全規(guī)則庫(kù)和安全策略,再分別建立濫用檢測(cè)模型和異常檢測(cè)模型,讓機(jī)器模擬自己的分析過程,識(shí)別確知特征的攻擊和異常行為,最后將分析結(jié)果形成報(bào)警消息,發(fā)送給控制管理中心。設(shè)計(jì)數(shù)據(jù)分析模塊的工作量浩大,需要不斷地更新、升級(jí)、完善。在這里需要特別注意3個(gè)問題。應(yīng)優(yōu)化檢測(cè)模型和算法的設(shè)計(jì),確保系統(tǒng)的執(zhí)行效率;安全規(guī)則的制訂要充分考慮包容性和可擴(kuò)展性,以提高系統(tǒng)的伸縮性;報(bào)警消息要遵循特定的標(biāo)準(zhǔn)格式,增強(qiáng)其共享與互操作能力,切忌隨意制訂消息格式的不規(guī)范做法。

  第三,需要構(gòu)建控制臺(tái)子系統(tǒng)??刂婆_(tái)子系統(tǒng)負(fù)責(zé)向網(wǎng)絡(luò)管理員匯報(bào)各種網(wǎng)絡(luò)違規(guī)行為,并由管理員對(duì)一些惡意行為采取行動(dòng)(如阻斷、跟蹤等)??刂婆_(tái)子系統(tǒng)的主要任務(wù)有:管理數(shù)據(jù)采集分析中心,以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報(bào)消息;根據(jù)安全策略進(jìn)行一系列的響應(yīng)動(dòng)作,以阻止非法行為,確保網(wǎng)絡(luò)的安全??刂婆_(tái)子系統(tǒng)的設(shè)計(jì)重點(diǎn)是:警報(bào)信息查詢、探測(cè)器管理、規(guī)則管理及用戶管理。

  第四,需要構(gòu)建數(shù)據(jù)庫(kù)管理子系統(tǒng)。一個(gè)好的入侵檢測(cè)系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實(shí)時(shí)、豐富的警報(bào)信息,還應(yīng)詳細(xì)地記錄現(xiàn)場(chǎng)數(shù)據(jù),以便于日后需要取證時(shí)重建某些網(wǎng)絡(luò)事件。數(shù)據(jù)庫(kù)管理子系統(tǒng)的前端程序通常與控制臺(tái)子系統(tǒng)集成在一起,用Access或其他數(shù)據(jù)庫(kù)存儲(chǔ)警報(bào)信息和其他數(shù)據(jù)。

  第五,完成綜合調(diào)試。以上幾步完成之后,一個(gè)IDS的最基本框架已被實(shí)現(xiàn)。但要使這個(gè)IDS順利地運(yùn)轉(zhuǎn)起來,還需要保持各個(gè)部分之間安全、順暢地通信和交互,這就是綜合調(diào)試工作所要解決的問題,主要包括要實(shí)現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的雙向通信及保證通信的安全性,最好對(duì)通信數(shù)據(jù)流進(jìn)行加密操作,以防止被竊聽或篡改。同時(shí),控制管理中心的控制臺(tái)子系統(tǒng)和數(shù)據(jù)庫(kù)子系統(tǒng)之間也有大量的交互操作,如警報(bào)信息查詢、網(wǎng)絡(luò)事件重建等。經(jīng)過綜合調(diào)試后,一個(gè)基本的IDS就構(gòu)建完成了,但是此時(shí)還不能放松警惕,因?yàn)樵谝院蟮膽?yīng)用中要不斷地對(duì)它進(jìn)行維護(hù),特別是其檢測(cè)能力的提高;同時(shí)還要注意與防火墻等其它系統(tǒng)安全方面的軟件相配合,以期從整體性能上提高局域網(wǎng)的安全能力。

  6.局域網(wǎng)安全防范策略

  一個(gè)網(wǎng)絡(luò)的防病毒體系是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的,應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求,建立局域網(wǎng)防病毒控制系統(tǒng),分別設(shè)置有針對(duì)性的防病毒策略。

  6.1 劃分VLAN 防止網(wǎng)絡(luò)偵聽

  運(yùn)用VLAN(虛擬局域網(wǎng))技術(shù),將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信,防止大部分基于網(wǎng)絡(luò)偵聽的入侵。目前的VLAN技術(shù)主要有三種:基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?;诙丝诘腣LAN雖然稍欠靈活,但卻比較成熟,在實(shí)際應(yīng)用中效果顯著,廣受歡迎?;贛AC地址的VLAN為移動(dòng)計(jì)算提供了可能性,但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。

  6.2 網(wǎng)絡(luò)分段

  局域網(wǎng)大多采用以廣播為基礎(chǔ)的以太網(wǎng),任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包,不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收,也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此,黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽,就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包,對(duì)其進(jìn)行解包分析,從而竊取關(guān)鍵信息,這就是以太網(wǎng)所固有的安全隱患。網(wǎng)絡(luò)分段就是將非法用戶與網(wǎng)絡(luò)資源相互隔離,從而達(dá)到限制用戶非法訪問的目的。所以網(wǎng)絡(luò)分段是保證局域網(wǎng)安全的一項(xiàng)重要措施。

  6.3 以交換式集線器代替共享式集線器

  對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后,以太網(wǎng)偵聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī),而使用最廣泛的分支集線器通常是共享式集線器。這樣,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí),兩臺(tái)機(jī)器之間的數(shù)據(jù)包(稱為單播包Unicast Packet)還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽。一種很危險(xiǎn)的情況是:用戶TELNET到一臺(tái)主機(jī)上,由于TELNET程序本身缺乏加密功能,用戶所鍵入的每一個(gè)字符(包括用戶名、密碼等重要信息),都將被明文發(fā)送,這就給黑客提供了機(jī)會(huì)。因此,應(yīng)該以交換式集線器代替共享式集線器,使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送,從而防止非法偵聽。當(dāng)然,交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,廣播包和多播包內(nèi)的關(guān)鍵信息,要遠(yuǎn)遠(yuǎn)少于單播包。

  6.4 實(shí)施IP/MAC 綁定

  很多網(wǎng)關(guān)軟件實(shí)施流量過濾時(shí)都是基于IP或MAC地址,對(duì)控制普通用戶起到了很好的效果,但對(duì)于高級(jí)用戶就顯得無能為力了,因?yàn)椴还苁荌P或是MAC地址都可以隨意修改。要實(shí)施基于IP或MAC地址過濾的訪問控制,就必須進(jìn)行IP/MAC地址的綁定,禁止用戶對(duì)IP或MAC的修改。首先通過交換機(jī)實(shí)施用戶與交換機(jī)端口的MAC綁定,再通過服務(wù)器網(wǎng)絡(luò)管理實(shí)施IP/MAC綁定,這樣用戶既不能改網(wǎng)卡的MAC地址,也不能改IP地址。通過IP/MAC綁定后,再實(shí)施流量過濾就顯得有效多了。

  7. 總結(jié)

  網(wǎng)絡(luò)安全技術(shù)和病毒防護(hù)是一個(gè)涉及多方面的系統(tǒng)工程,在實(shí)際工作中既需要綜合運(yùn)用以上方法,還要將安全策略、硬件及軟件等方法結(jié)合起來,構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng),又需要規(guī)范和創(chuàng)建必要的安全管理模式、規(guī)章制度來約束人們的行為。因此,局域網(wǎng)安全不是一個(gè)單純的技術(shù)問題,它涉及整個(gè)網(wǎng)絡(luò)安全系統(tǒng),包括防范技術(shù)、規(guī)范管理等多方面因素。只要我們正視網(wǎng)絡(luò)的脆弱性和潛在威脅,不斷健全網(wǎng)絡(luò)的相關(guān)法規(guī),提高網(wǎng)絡(luò)安全防范的技術(shù)是否被授權(quán),從而阻止對(duì)信息資源的非法用戶使用網(wǎng)絡(luò)系統(tǒng)時(shí)所進(jìn)行的所有活動(dòng)的水平,才能有力地保障網(wǎng)絡(luò)安全。

372686