如何保護信息安全防止局域網監聽

我們經常在電視或電影中看到這樣的場景。間諜或警察在壹戶人家的電話線總線上拉出壹條電話支線並竊聽這部電話。現在這種方法正在網絡中逐漸普及。由於局域網采用廣播方式，在壹個廣播域內（往往壹個企業局域網就是壹個廣播域），所有的信息都可以被監聽。通過分析數據包，非法入侵者可以非法竊取局域網上傳輸的壹些重要信息。例如，當許多黑客入侵時，他們會將對局域網的簡要描述和監控作為入侵前的準備。因為通過這些方式，他們可以獲得用戶名和密碼等重要信息。例如，許多網絡管理工具，它們聲稱可以監控他人發送的電子郵件內容、即時聊天信息、訪問網頁等。，也都是通過網絡監控實現的。由此可見，網絡監控是壹把雙刃劍，使用得當可以幫助我們管理員工的網絡行為。如果用不好，會給企業的網絡安全帶來致命的打擊。壹、監控的工作原理。為了有效地防止局域網監聽，有必要對局域網監聽的工作原理有壹定的了解。知己知彼，百戰百勝。只有這樣我們才能提出壹些預防措施。現在企業局域網中常用的網絡協議是“以太網協議”。該協議的壹個特征是，如果主機A想要將主機發送到B，它將不會壹對壹地發送，而是將數據包發送到局域網中包括主機B在內的所有主機。在正常情況下，只有主機B會收到此數據包。當其他主機收到數據包時，如果發現該數據庫的目的地址與自己的不匹配，就會將其丟棄。但是，如果此時局域網中有主機C，則它處於監控模式。然後該數據將接收該數據包，而不管數據包中的ip地址是否與自身匹配，並將數據內容傳遞給上層進行後續處理。這是網絡監控的基本原則。在以太網中傳輸數據時，包含主機唯壹標識符的物理地址（MAC地址）的幀從網卡發送到物理線路，如網線或光纖。此時，從特定主機發送的數據包將到達連接到該線路的所有主機。當數據包到達主機時，該主機的網卡將首先接收數據包並對其進行檢查。如果該數據包中的目的地址與其自身地址不匹配，該數據包將被丟棄。如果該數據包中的目的地址與其自身地址匹配或者是廣播地址，則該數據包將被移交給上層進行後續處理。在這種工作模式下，如果主機設置為偵聽模式，它可以知道局域網中傳輸的所有數據。如果這些數據不加密，後果可想而知。二是常見的預防措施。1，采用加密技術實現密文傳輸。從上面的分析中我們可以看出，如果主機設置為偵聽模式，局域網中傳輸的任何數據都可能被主機竊聽。但是，如果竊聽者獲得的數據是加密的，即使它獲得了數據包，也是無用的，無法解密。就像電影裏的電報壹樣。如果妳不知道相應的密碼，即使妳得到了電報的信息，對他們也沒有用。因此，防止局域網監聽的常用方法是加密。數據加密後，傳輸的信息仍然可以通過偵聽獲得，但它顯示亂碼。因此，即使它獲得了數據，也是壹堆亂碼，用處不大。目前，這種傳輸有多種加密方法，最常見的是IPSec協議。Ipsec有三種工作模式，壹種是強制的，另壹種是接收方要求的，第三種是不采用的。當主機A向主機B發送數據文件時，主機A和主機B將首先進行協商，包括是否需要IPSec技術來加密數據包。首先，它必須被采用，即主機A和主機B都必須支持IPSec，否則，傳輸將以失敗告終。二是請求使用。例如，在協商期間，主機A將詢問主機B是否需要IPSec。如果主機B回答不需要使用它，它將以明文傳輸，除非主機A的IPSec策略設置它必須使用。如果主機B回答它可以通過IPSec加密，主機A將在發送數據包之前對其進行加密。通過IPSec技術加密的數據通常很難被破解。此外，重要的是這種加密和解密工作對用戶是透明的。也就是說，在我們的網絡管理員需要配置IPSec策略之後，員工不需要額外的操作。是否使用IPSec加密，如果不使用會發生什麽等。，員工的主機會自行協商，我們不需要額外的控制。使用這種加密方法時，唯壹需要註意的是如何設置IPSec策略。換句話說，當采用強制加密時，意味著它是可選的。如果使用強制加密，則必須確保通信雙方都支持IPSec技術，否則，通信可能會不成功。最懶惰的方法是為企業中的所有計算機配置IPSec策略，而不管它們是否願意。雖然，每個人都會增加壹定的帶寬並給網絡帶來壹定的壓力，但基本上，這不會對用戶產生太大的直接影響。換句話說，他們無法直觀地感受到采用IPSec技術導致的網絡性能下降。2.使用路由器等網絡設備對網絡進行物理分段。從上面對以太網工作原理的分析中，我們可以知道，如果銷售部門的壹名銷售員工向銷售經理發送壹份文檔，它將在整個公司網絡中傳輸。如果我們可以設計壹個方案，允許銷售人員的文件直接由銷售經理接收，或者至少只能由銷售部門的員工接收，那麽網絡監控帶來的網絡安全風險就可以大大降低。例如，我們可以使用路由器來分隔廣播域。如果我們的銷售部門和其他部門不是通過共享集線器或普通交換機連接，而是通過路由器連接，則可以很好地防止局域網監控的問題。在這種情況下，當銷售員A向銷售經理B發送郵件時，如果不使用路由器進行分段，郵件將被分成幾個數據包並在整個企業局域網內傳輸。相反，如果我們使用路由器連接銷售部和其他部門的網絡，在數據包發送到路由器後，路由器會檢查數據包的目的IP地址，然後根據此IP地址進行轉發。此時，只有對應IP地址的網絡才能接收到此數據包，其他不相關的路由器接口不會接收到此數據包。顯然，使用路由器對數據報進行預處理可以有效地減少數據包在企業網絡中的傳播範圍，使數據包可以在最小的範圍內傳播。但是，使用路由器對此進行分段有壹個缺點，即仍可能在小區域內造成網絡監控。例如，在銷售部門的網絡中，如果主機被設置為網絡監控，則它無法監控銷售部門外部的網絡，但仍然可以監控銷售部門內部主機發送的數據包。如果財務經理將客戶的應付款余額表發送給銷售經理，在路由器將其轉發到銷售部門的網絡後，數據包仍將到達銷售部門網絡中的任何主機。這樣，只要銷售網絡中的網絡主機被設置為偵聽，它仍然可以竊聽到所需的信息。但是，如果財務經理將此文檔發送給總經理，由於總經理的網段不在銷售部的網段中，數據包將不會發送到財務部所在的網段中，因此銷售部的監聽主機將無法監聽到此信息。此外，使用路由器進行網絡分段還有壹個很好的副作用，即它可以減輕網絡帶寬的壓力。如果數據包在這個網絡中傳播，將會給網絡帶來巨大的壓力。相反，它可以通過路由器對網絡進行分段，從而將數據包控制在相對較小的範圍內，從而明顯節省網絡帶寬並提高網絡性能。特別是企業在遇到DDOS等類似攻擊時，可以降低其危害性。3.利用虛擬局域網實現網絡分段。我們不僅可以使用路由器作為網絡硬件來實現網絡分段。不過，這畢竟需要企業購買路由器設備。其實我們也可以使用壹些交換機來實現網絡分段的功能。如果某些交換機支持虛擬局域網技術，則可用於實現網絡分段並降低網絡攔截的可能性。虛擬局域網的分段功能類似於路由器，它可以將企業的局域網劃分為小段，允許數據包在小段中傳輸，並將以太網通信變成點對點通信，從而防止大多數網絡監控的入侵。但它畢竟還是通過網絡分段來防止網絡監聽的，所以它也有使用路由器來實現這壹要求的缺點，即它只能降低網絡監聽入侵的概率。在某個網段中，仍然無法有效避免網絡監聽。因此，作為壹種較好的方法，筆者仍然建議使用加密技術來防止網絡監控給企業帶來的危害，尤其是防止用戶名和密碼等關鍵信息被竊聽。