在微软(Microsoft)最近开始主张的网路安全概念当中,微软宣称如果使用者需要真正安全的网路,使用者必须注意包括周边、网路、应用程式、资料、主机等五个方面的防卫问题。在此我将会把焦点集中在网路防护上,并提出保障网路防卫安全的四个步骤。
什么是网路防卫?
网路防卫涉及连结不同网路以及整体网路运作的问题,但是网路防卫并不处理外部防火墙和电话拨接这些涵盖在周边防卫当中的问题,也不包括主机防卫当中的伺服器和工作站。通讯协定和路由器之类的问题,才是网路防卫涵盖的范围。
内部防火墙
虽然网路防卫并不包括外部防火墙,但是这并不表示网路防卫和防火墙完全无关。事实上,我对于加强网路防卫的第一个建议,就是在启动内部防火墙。内部防火墙基本上和外部防火墙一样,主要的差别是内部防火墙着重于自家网路当中的防卫。这边有几个建置内部防火墙的原因:
试想如果骇客或病毒在外部防火墙上动手脚,穿透了外部防火墙保护。一般来说,内部网路将会暴露在攻击之下,可是如果这个时候你已经启动了内部防火墙,那么这些穿过外部防火墙的恶意封包,还是可以被内部防火墙阻挡下来。
另外一个主要的原因,则是因为许多攻击是发自内部网路的事实。或许你曾经听过这样的事情,不过却认为内部的攻击绝对不会发生在你的网路上。可是,在我以前工作过的公司当中,每一家都有来自内部的攻击或违反资讯安全的例子。
其中两家公司,就因为有员工或系统管理员,觉得从公司网路上抓取资料很酷,于是就着手尝试看看可以在网路上抓到什么资料。他们宣称他们并没有恶意,只是想秀一下自己的能力,可是不管他们的动机是什么,他们的动作都破坏了网路的资讯安全。我们必须在内部网路防止这种事情的发生。
在其他的公司里面,我则看过有人使用未经授权的程式,而这些程式又感染了特洛伊木马的病毒。这些特洛伊木马,则透过特定的通讯埠对外发送讯息。防火墙也没办法处理这种存在内部网路上的恶意封包。
这样的情况也引发一个必须注意的事实:大多数我所知道的技术,外部防火墙都只能阻绝来自外部的封包,而会允许内部封包向外传递。我建议检查外来封包的标准,必须应用在向外传送的封包上。因为你永远不晓得,特洛伊木马会不会从内部把自家网路的资讯传到全世界。
在理想的状况下,每一台个人电脑或伺服器,都应该安装内部防火墙。市场上有许多不错的个人用防火墙,像赛门铁克(Symantec)的Norton's Personal Firewall 2003就是一个例子。不过因为Windows XP已经内建了个人防火墙,你可能一毛钱也不用花,就可以启动内部防火墙。
想要启动Windows XP的防火墙,就先点选“我的网路”,打开快捷选单(shortcut menu)的“属性”选项,显示网路连线状的视窗。然后在你所需要的网路连结上,点击右键点选“属性”,并在“进阶设定”下勾选防火墙的选项。此外,你也可以透过“设定”,打开所需要的通讯埠。虽然Windows XP的防火墙是以网际网路的防火墙为设计目标,不过也是可以当作内部防火墙来用。
加密
我建议的下一个步骤,就是把网路上所传递的讯息进行加密。这可以从建置IPSec开始,这里提供一些关于建置IPSec时所必须知道的事情。
当你设定IPSec的时候,你可以把IPSec设成必须加密(require encryption)或请求加密(request encryption)。如果你把IPSec设成必须加密,任何尝试和你连线的机器都会被告知连线需要加密功能。如果这些机器有加密功能,那双方就会建立安全通道开始传输资料。如果对方没有IPSec加密功能,那就无法建立连线传送资料。
要求加密的方式则有些不同。在要求加密当中,如果尝试和你连线的机器有IPSec功能,那么就会建立安全通道,以加密的方式传送资料。但是如果和你连线的机器不支援IPSec,双方仍然会建立传输通道,只是资料会以未经加密的方式传送。
此外,我建议把所有的伺服器规划在一个安全网路当中。这个网路应该独立一般的网路之外。每一台伺服器配备两张网路卡,一张用来连结主要的网路,另一张则是连接私有的伺服器网路。在伺服器网路当中只允许伺服器加入,并配备专属的路由器或交换机。
建立这样的环境之后,你在伺服器之间就建立了一个专属的骨干网路。所有伺服器间的通讯,包括RPC或复制的连结,都可以透过这个专属的骨干网路。这样就可以加强伺服器上资料传输的安全,并增加主要网路上的频宽。
在这个只有伺服器的网路当中,我建议将IPSec设成必须加密。除非你有UNIX、Linux、Macintosh或其他非微软的伺服器,不然所有的伺服器应该都支援IPSec,你将会拥有完整的加密环境。所有连结到主要网路的工作站或伺服器,则可以设为要求加密,以便在安全和功能上达到有最佳化的平衡。
不过IPSec并无法辨识设在不同地点的电脑的网路卡,所以除非伺服器只连在伺服器网路上,不然你就会把他设成要求加密,以免其他机器无法连上伺服器。
IPSec也不是网路上唯一的一种加密方式,你必须考虑如何保护穿过网路周边的资讯以及经由无线方式连结的网路。
无线区域网路的产品仍在演进当中,所以无线的加密方式被视为一个棘手的问题。因为无线传递的封包可能被任何装有无线网卡的笔记型电脑拦截,所以许多系统管理员,就直接把无线区域网路当作不安全的网路。
不过,虽然无线区域网路有他的风险,在某种程度上来说。无线区域网路可能比有线连结还来得安全。这是因为无线区域网路采用WEP作为加密机制。WEP加密的程度可以从40-bit到152-bit或者更高。实际的加密强度则依据最低公分母而定,例如,虽然你的无线基地台支援128-bit的WEP加密,但是用户端却只有64-bit的WEP加密,最高的加密等级也就被限制在64-bit的加密。只是目前几乎所有的无线区域网路产品最少都会支援128-bit的加密。
许多系统管理员并未了解的事情是,虽然无线区域网路使用了WEP加密,但是这并不表示无线区域网路只能使用WEP加密。所以如果原本的网路就已经有IPSec加密,那WEP就只是附加另一层的加密。
网路隔离
如果公司的规模够大,公司的网站可能有专属的网页伺服器。如果网页伺服器没有连结后端的资料库或私有网路当中的资源,那就不需要把网页伺服器放在私有网路当中。如果可以把网页伺服器和私有网路分离,你就不需要担心有人利用网页伺服器入侵私有网路。
如果你的网页伺服器需要连结资料库及其他的私有网路的资源,那我建议在防火墙和网页伺服器当中,架设ISA伺服器。来自网路的连结将会透过ISA伺服器连结网页,而不是直接连上网页伺服器。ISA伺服器会代理(proxy)使用者和网页伺服器之间的请求。你也可以在网页伺服器和资料库伺服器当中,建立IPSec连结,网页伺服器和ISA伺服器当中则建立SSL连结。
封包监听器
同时,我也建议不定期以封包监听器(packet sniffer)检查网路,侦测还是能够穿越安全防卫的封包。这是一个检视实际网路资料的预防措施。如果你侦测到意外出现的封包,你就可以追踪封包的来源。
封包监听器最大的问题是,有时候骇客会把封包监听器当作他们的工具。我曾经认为没有办法侦测到有人在我的网路上使用封包监听器。因为封包监听器只是去检视网路上每个封包的内容,既然封包监听器本身没有传送任何封包,那又要怎么侦测到这些监听器呢?
事实上,侦测封包监听器比你想的来得简单。你所需要的只是一台作为陷阱的电脑,一台只有你知道的工作站。先确认这台工作站拥有一个IP位址,也不属于网域的一部分,然后再把这台工作站安装在网路上,并发出一些封包。如果有人在你的网路上,使用封包监听器。监听器就会看到来自这台工作站的封包,监听器可以看到IP位址,但是却无法得知主机的名称,这时候监听器就会开始在DNS上查询这台工作站的名称。可是因为你是唯一一个知道这台工作站的人,理论上不应该有任何人在DNS上查询这台工作站。所以,一旦你在DNS的纪录档发现类似纪录时,那就很可能有人在网路上使用封包监听器。
另外一个可以防范封包监听的方法,则是把路由器换成VLAN交换机。VLAN交换机会在封包的发送方和接收方建立虚拟网路,封包不会经过网路的不同电脑,而是会直接传到目的地。这样一来,封包监听就很难得到有用的资讯。
VLAN交换机也有另一个好处。如果你使用路由器,所有的节点会共享同一个频宽,例如100Mbps的频宽必须分给所有的连线。不过在VLAN交换机当中,每一个虚拟网路都会有专属的频宽,所以100Mbps的频宽,可以同时处理好几个虚拟的100Mbps频宽。采用VLAN交换机可以同时加强资讯安全和网路效能。
[ 此帖被ghostya1017在2009-01-12 16:26重新编辑 ]