来源:网络 | 2007-1-8 | (有2035人读过)
由于局域网采用广播的方式进行通信,因而信息很容易被窃听。网络嗅探就是通过侦听所在网络中所传输的数据来嗅探有价值的信息。对于普通的网络嗅探的防御并不困难,可通过以下手段来进行: 1)采用交换网络 一般情况下,交换网络对于普通的网络嗅探手段具有先天的免疫能力。这是由于在交换网络环境下,每一个交换端口就是一个独立的广播域,同时端口之间通过交换机进行桥接,而非广播。网络嗅探主要针对的是广播环境下的通信,因而在交换网络中就失去作用了。 随着交换网络技术的普及,网络嗅探所带来的威胁也越来越低,但仍不可忽视。通过ARP地址欺骗仍然可以实现一定范围的网络嗅探,此外黑客通过入侵一些型号的交换机和路由器仍然可以获得嗅探的能力。 2)加密会话 在通信双方之间建立加密的会话连接也是非常有效的方法,特别是在企业网络中。这样,即使黑客成功地进行了网络嗅探,但由于捕获的都是密文,因而毫无价值。网络中进行会话加密的手段有很多,可以通过定制专门的通信加密程序来进行,但是通用性较差。 这时,完善IP通信的安全机制是最根本的解决办法。 由于历史原因,基于IP的网络通信技术没有内建的安全机制。随着互联网的发展,安全问题逐渐暴露出来。现在经过各个方面的努力,标准的安全架构也已经基本形成。那就是IPSec机制,并且它将作为下一代IP网络标准IPv6的重要组成。IPSec机制在新一代的操作系统中已经得到了很好的支持。在Windows Server 2003系统中,其服务器产品和客户端产品都提供了对IPSec的支持。从而增强了安全性、可伸缩性以及可用性,同时使部署和管理更加方便。 在Windows Server 2003系统的安全策略相关的管理工具集(例如本地安全策略、域安全策略、组策略等)中,都集成了相关的管理工具。为清楚起见,通过Microsoft管理控制台MMC定制的管理工具来了解一下。 具体方法如下:首先在“开始”菜单中单击“运行”选项,然后键入mmc,并同时单击“确定”按钮。在“控制台”菜单中选择“添加删除管理单元(M)”命令,然后,单击其中的“添加”按钮。 在可用的独立管理单元中,选择“IP安全策略管理”选项,双击或单击“添加”按钮,在这里选择被该管理单元所管理的计算机,然后单击“完成”按钮。关闭添加管理单元的相关窗口,就得到了一个新的管理工具,在这里可以为其命名并保存。 此时可以看到已有的安全策略,用户可以根据情况来添加、修改和删除相应的IP安全策略。其中Windows Server 2003系统自带的有以下几个策略: 安全服务器(要求安全设置); 客户端(只响应); 服务器(请求安全设置); 其中的“客户端(只响应)”策略是根据对方的要求来决定是否采用IPSec;“服务器(请求安全设置)”策略要求支持IP安全机制的客户端使用IPSec,但允许不支持IP安全机制的客户端来建立不安全的连接;而“安全服务器(要求安全设置)”策略则最为严格,它要求双方必须使用IPSec协议。 不过,“安全服务器(要求安全设置)”策略默认允许不加密的受信任的通信,因此仍然能够被窃听。直接修改此策略或定制专门的策略,就可以实现有效的防范。选择其中的“所有IP通讯”选项,在这里可以编辑其规则属性。 选择“筛选器操作”选项卡,选择其中的“要求安全设置”选项。
|