防黑高手-局域网安全

由0晋身200%防黑高手张晓兵陈鹏谢巍彭爱华张忠将齐文普编著内蒙古科学技术出版社207第8章局域网安全局域网安全8第章《电脑爱好者》208局域网凭着高效率的传输性能、低成本的投入，已经普及到了各个企业、学校、小区当中。随着近几年来，网络的高速发展，病毒、木马、蠕虫和一些恶意用户已经把黑手伸向局域网，原因是因为一般企业的防火墙对于来自外部的数据控制非常严格，一个配置好的企业网络很少能有黑客从外部入侵并渗透进内网。相反，防火墙对于来自内部的数据默认为信任状态，这就造成了攻击者如果在企业内部发起攻击它将不会受到任何安全策略的阻拦，这也是造成局域网安全隐患的一个重要因素。随着近几年网络在国内的普及，局域网安全问题也得到了越来越多的重视。本章将针对目前局域网中的一些常见的安全问题，由浅入深地进行分析，配以丰富的实例，讲解具体的配置步骤。掌握了本章内容，读者虽然不能成为真正的网络安全专家，但是对局域网安全会有一个清晰、准确、系统、全面的认识。8.1局域网概述我们需要先了解一下局域网的基础知识、局域网的特性，为更进一步了解局域网打下基础。8.1.1局域网的发展在计算机发展的初期，人们使用的都是大中型计算机，通常简称为主机。随着电子技术的发展，通过终端连到了主机上，从而人们不必进入机房，只需从办公室的终端上便可提交请求。这时已经出现了类似局域网的概念。随着操作系统和中小型计算机的出现，使用者已经能够以交互操作地方式向中心机提交请求。这时真正的局域网还未出现。直到1981年IBMPC机出现后，随着PC机的大量投入市场，人们发现，每台PC配置一台磁盘驱动器和打印机，在费用上实在难以承受，于是出现了资源共享的方式，即磁盘服务器和共享打印机。第一个磁盘服务器是在CP/M操作系统下运行的。这时，真正的局域网出现了。而现在其他类型的服务器也不断的涌现出来，如数据库服务器、聊天服务器、网关服务器等。这些服务器都能带给局域网用户带来各种不同的方便，也可以给企业带来高效率的回报。随着时间的推移局域网技术也将日渐成熟，如近几年开始流行的ATM局域网和无线局域网，这些新类型的局域网出现，无论是从传输效率和方便程度来说，比目前的局域网要好过很多倍。8.1.2局域网的原理和特性局域网（LAN）是LocalAreaNetwork的缩写。要想完整的定义局域网的概念，必须从两个方面进行描述。1.功能性。在功能性中，局域网定义为一组台式计算机和其他设备，在物理地址上彼此相隔不远，以允许用户相互通信和共享诸如打印机和存储设备之类的计算资源的方式互联在一起的系统。这种定义适用于办公环境下的局域网、工厂和研究机构中使用的局域网。2.技术性。在技术性中，局域网被定义为由特定类型的传输媒体（如电缆、光缆和无线媒体）和网络适配器（亦称为网卡）互联在一起的计算机，并受网络操作系统监控的网络系统。从这两个方面的描述，读者们不难看出功能性定义强调的是外界行为和服务；技术性定义强调的则209第8章局域网安全是构成局域网所需的物质基础和构成的方法。8.1.3局域网的组成局域网主要由服务器、工作站、传输介质、网络适配器、连接设备五个部分所构成。在具备这些条件之后还要恰当的规划局域网的工作模式和拓扑结构，一个真正的局域网才能完成，这一节中笔者将依次为读者们简要的介绍每一个部分的内容。一、局域网的组成1.服务器运行着网络操作系统，提供各种功能，如打印、文件数据等服务的计算机称为服务器。一般服务器的硬件配置要比普通的计算机高很多，由于要向局域网中的每个用户提供服务，它必须使用专门的网络操作系统（简称NOS）。目前常见的网络操作系统有三种：（1）NOVELL公司的NetWare系统NetWare系统的特点是对硬件的要求非常低，主要支持IPX/SPX协议，能够提供各种服务，使用命令的操作方式。现在NetWare系统已经非常少见了，随着网络的发展NetWare系统将很快退出历史的舞台。（2）Unix/Linux系统Unix系统是网络中最先使用的系统，也是网络操作系统的鼻祖。它是一种典型的32位多用户的网络操作系统，基于TCP/IP协议，特点是开放所有原代码，用户可以在系统上进行功能的开发。有很多公司都利用Unix/Linux系统开发了属于自己的操作系统，如Sun公司开发的Solaris系统、IBM公司开发的AS400系统、红旗Linux、RedHatLinux等等。这些系统都是根据Unix核心开发的，都只能算做Unix系统的一个版本。正式由于开放原代码这个特性，使的Unix/Linux系统各种版本数量过多。并且大多数Unix系统都是已命令方式进行操作的，所以不利于用户掌握。由于有它开放源代码功能所以一些特殊机构必须使用它，并且Unix系统是目前唯一能和Windows系统所抗衡的操作系统。（3）Windows2000Server系统这也许是用户们最熟悉的一款网络操作系统，由微软公司所开发，32位/64位多用户操作系统，基于TCP/IP协议，特点采用图形化界面，操作方便、易于用户掌握。功能强大支持各种服务类型。是目前最常见最普及的一款的网络操作系统。2.工作站工作站其实指的就是局域网中的客户机，通过局域网工作站可以享受到服务器的各种服务。并且工作站一般运行的是客户端操作系统，如最早的DOS、Windows9X和现在使用比较多的Windows2000professional、WindowsXPprofessional。3.传输介质能够把计算机互联在一起，并且可以传输计算机中各种数据的东西就是传输介质，也是人们常说的网线。常见的网线一般有同轴电缆、双绞线、光纤和红外线等。4.网络适配器网络适配器其实就是我们常说的网卡，提供连接各种传输介质的功能。5.连接设备主要提供把各种传输介质进行集连的功能，就是大家常见的网桥、集线器、交换机等等。《电脑爱好者》210二、局域网的几种工作模式1.专用服务器结构：(Server—Baseb)又称为“工作站／文件服务器”结构，由若干台微机工作站与一台或多台文件服务器通过通信线路连接起来组成工作站存取服务器文件，共享存储设备。文件服务器自然以共享磁盘文件为主要目的。对于一般的数据传递来说已经够用了，但是当数据库系统和其他复杂而被不断增加的用户使用的应用系统到来的时候，服务器已经不能承担这样的任务了，因为随着用户的增多，为每个用户服务的程序也增多，每个程序都是独立运行的大文件，给用户感觉极慢，因此产生了客户机／服务器模式。2.客户机/服务器模式：(client／server)其中一台或几台较大的计算机集中进行共享数据库的管理和存取，称为服务器，而将其他的应用处理工作分散到网络中其他微机上去做，构成分布式的处理系统，服务器控制管理数据的能力已由文件管理方式上升为数据库管理方式，因此，C/S模式服务器也称为数据库服务器，注重于数据定义及存取安全后备及还原，并发控制及事务管理，执行诸如选择检索和索引排序等数据库管理功能，它有足够的能力做到把通过其处理后用户所需的那一部分数据而不是整个文件通过网络传送到客户机去，减轻了网络的传输负荷。C/S结构是数据库技术的发展和普遍应用与局域网技术发展相结合的结果。3.对等式网络：（Peer—to—Peer）在拓扑结构上与专用Server与C/S相同。在对等式网络结构中，没有专用服务器每一个工作站既可以起到客户机作用也可以起服务器作用。三、局域网最常见的三种拓扑结构1.星形拓扑结构星形结构是最古老的一种连接方式，大家每天都使用的电话都属于这种结构，其中，电话网的星形结构,为目前使用最普遍的以太网星形结构，处于中心位置的网络设备为集线器。这种结构便于集中控制，因为端用户之间的通信必须经过中心站。由于这一特点,也带来了易于维护和安全等优点。端用户设备因为故障而停机时也不会影响其他端用户间的通信但这种结构非常不利的一点是，中心系统必须具有极高的可靠性，因为中心系统一旦损坏，整个系统便趋于瘫痪。对此中心系统通常采用双机热备份，以提高系统的可靠性。2.环形网络拓扑结构环形结构在局域网中使用较多。这种结构中的传输媒体从一个端用户到另一个端用户，直到将所有端用户连成环形。这种结构显而易见消除了端用户通信时对中心系统的依赖性。环形结构的特点是，每个端用户都与两个相临的端用户相连,因而存在着点到点链路，但总是以单向方式操作。于是，便有上游端用户和下游端用户之称。3.总线拓扑结构总线结构是使用同一媒体或电缆连接所有端用户的一种方式，也就是说，连接端用户的物理媒体由所有设备共享。使用这种结构必须解决的一个问题是，确保端用户使用媒体发送数据时不能出现冲突。在点到点链路配置时,这是相当简单的。如果这条链路是半双工操作，只需使用很简单的机制便可保证两个端用户轮流工作。在一点到多点方式中，对线路的访问依靠控制端的探询来确定。然而，在局域网环境下，由于所有数据站都是平等的，不能采取上述机制。对此，研究了一种在总线共享型网络使用的媒体访问方法：带有碰撞检测的载波侦听多路访问，英文缩写成CSMA/CD。这种结构具有费用低、数据端用户入网灵活、站点或某个端用户失效不影响其他站点或端用户通信的优点。缺点是一次仅能一个端用户发送数据，其他端用户必须等待到获得发送权。媒体访问获取机制211第8章局域网安全较复杂。尽管有上述一些缺点,但由于布线要求简单，扩充容易，端用户失效、增删不影响全网工作，所以是局域网技术中使用最普遍的一种。8.1.4局域网安全概述随着计算机在各行各业中的广泛应用，局域网已经成为每个企业的运行动脉。企业局域网，可以有效的实现企业对员工的信息发布、资源共享、项目分配等等。而员工可以在局域网中处理各种工作任务，并且利用局域网员工能非常容易的协调工作，甚至可以利用局域网进行各种游戏娱乐。企业局域网的普及，使得企业的工作效率得到大大提高。但是在企业局域网中充斥着企业的各种机密资料和客户信息。一旦出现安全问题，后果将不堪设想。针对企业局域网的安全问题，微软公司列出了一个安全问题给企业造成损失的列表，共分为七个大类，分别是：收入损失、数据丢失或安全受到威胁、业务流程中断、声誉受到损害、投资者的信心受到重创、客户信心受到打击和法律后果。俗话说知己知彼，方能百战百胜。要想安全的部署自己的局域网，首先我们应该了解到局域网中到底存在哪些安全隐患，这些安全隐患能够造成什么样的后果，也就是说首先得完成一个知己的过程。根据笔者对各大局域网的安全的了解，笔者总结出了如下几条局域网常见的安全隐患。一、补丁问题很多企业只是对自己网络中的代理服务器做了一定的安全部署，只要代理服务器的安全得到了保障，那么局域网中的其他计算机就能得到安全保障。正因为这种错误的思路，导致局域网中的客户机几个月甚至几年都没有部署过补丁。而这个局域网就成为了“漏洞博物馆”，里面甚至还存在着一些早已经在Internet中绝迹的漏洞，像这样的局域网一旦被黑客或者是病毒拿下了代理服务器，那么局域网将在短时间内全线崩溃。二、数据安全笔者调查发现目前几乎百分之九十的局域网没有对传输数据做一定的加密处理。而如果企业中有一名恶意用户或者是商业间谍，他在网络中安放一个Sniffer（嗅探器），那么整个局域网就不会在有隐私可言。三、账户密码安全局域网的一个最大特点就是能够通过代理服务器和Internet隔离，这样很多人无视局域网中用户账户的密码安全，有很多局域网中充斥着各种弱口令、空密码，这样即使网络部署了再高的安全策略，同样会被黑客或者商业间谍轻易的利用到。四、服务安全水能载舟，也能覆舟。网络服务在提供企业方便的同时，也能对网络造成不同程度的安全隐患。众所周知Windows系统以人性化著称，在默认安装之后系统就会开启很多的服务，诸如IPC$、Messenger，这些平时并不常用，但是又能被黑客利用的服务，会给我们的网络造成重大的安全问题。如果被人利用，黑客可以轻松的进入局域网中的任何一台计算机，查看任何一台计算机的数据。并且一些病毒和蠕虫也会利用一些服务对网络进行入侵，像大家最熟悉的“冲击波蠕虫”和“震荡波蠕虫”就是利用Windows的RPC服