现在随着信息化在管理中越来越深入应用,多数政府机关、金融机构、科技公司等也拥有了自己的内部网络。信息化管理中内部网络也将负责整个单位内部与内部之间、内部与外部之间大部分信息的流通。
根据信息安全研究机构对信息安全威胁的分析得出,最普遍的安全威胁来自机构内部,同时这些威胁通常都是致命的,其破坏性也远大于外部威胁。来自内部的威胁通常包括社会工程学中的一部分、内部人员的泄密、病毒泛滥、物理上的安全威胁、网络嗅探等等, 其中网络嗅探对于普通的内部网络来说,操作简单同时威胁巨大,很多黑客也使用嗅探器进行网络入侵的渗透,这里就将介绍一些有关内部网络中如何防范和检测嗅探的问题。
网络嗅探(sniff)实际上就是网络中的窃听器,其用途就是捕获分析网络中的数据包,帮助网络管理员发现入侵、分析网络问题、分析网络瓶颈甚至记录流通数据等,很多网络管理、流量分析软件实际就是功能复杂些的嗅探器(sniffer)。当然,嗅探技术在黑客入侵中也是一种基础技术了,很多深入的入侵都会使用到嗅探技术。从安全威胁角度来说,嗅探将给安全带来下面的威胁:
* 获得帐号密码,包括Telnet这样的系统管理帐号
* 获得机密信息
* 分析网络结构、进行渗透
* 数据欺骗和劫持(嗅探结合欺骗技术)
类似上面的简单网络结构,防火墙、IDS等能有效地防范外部内部入侵破坏,但是网络嗅探谁来防范?
首先我们简单介绍嗅探技术,并从入侵者(这里不光指外部入侵者,也包括内部的破坏者)的角度来分析嗅探技术在入侵中的使用,这样更能有助于制订防范措施保障安全。
以太网络中的数据流通都将通过网络中的每个结点,这些数据涉及到信息化管理中的一切网络通讯,包括邮件、网络浏览、数据共享、FTP、TELNET等等。在每个结点接收到数据后,将进行筛选,抛弃不属于自己的数据包,留下那些发送给自己的数据。网卡的混杂模式就是设置网卡接收所有流过的数据。嗅探器也就是根据这个原理,把网卡设置为混杂模式,从而捕获所有流过网卡的数据,然后进行数据的解码以便获得所需信息,同时这样的数据捕获并不影响其他结点的数据接收和发送。这里需要指出的是,很多黑客扫描器工具以及木马程序等也使用了嗅探器的工作原理或功能,不过嗅探器不是一个主动攻击的黑客工具,它只负责被动接收和分析数据。
网络嗅探器对信息安全的威胁更来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。一个很简单的例子就是,在简单网络中,一封机密邮件在发送过程中,不光发送给了邮件服务器,其实也发送给了相同网络中的工作站A、工作站B或者装有嗅探器的工作站C……,但是这个过程发送邮件者是察觉不到的。
通常使用嗅探的入侵者,都必须拥有一些立足点用来放置嗅探工具。对于外部入侵者来说,能通过入侵外网服务器、往内部工作站发送木马等获得需要的立足点,然后放置其嗅探器,而内部破坏者就能够直接获得嗅探器的放置点,比如他自己的工作站或者其他能控制的机器。入侵者使用嗅探器通常会进行长时间的数据捕获,以便获得需要的数据(除非能准确确定需要数据的流过时间)。所以,嗅探属于不确定范畴。并且,一个深谙此道的入侵者通常会在嗅探技术基础上结合ARP欺骗、会话劫持等技术实现入侵的渗透。所以,嗅探也属于混合范畴。
从上面的简单分析,可以从嗅探工作原理、使用方式、嗅探目的等方面入手来制订一些防范内部网络中嗅探的措施:
1、 重视内部网络的管理,严格禁止使用任何嗅探工具
对于内部网络的安全,管理显得格外重要。除网络管理员外网络的正常使用,是不会运行到任何嗅探相关,因此,禁止在内部网络中使用任何嗅探相关工具是完全可行的,这能从制度上明确限制一些工作站主动使用嗅探器的情况。
2、 重视病毒的来源渠道
这里并不是说嗅探器是一种病毒,只是表明那些病毒的来源方式也可能是嗅探器进入常采用的途径。比如,诱惑性和欺骗性的电子邮件附件,未知程序的下载(拷贝)运行等等。对于这些侵入方式,需要在加强管理的同时,注重人员的操作培训。这方面的基础培训不光能帮助防范嗅探器,同时也能防范病毒、木马等恶意程序传播。
3、改造内部网络结构
大多数内部网络都使用HUB集线器来连接多台工作站,这就为网络中数据的泛播(数据向所有工作站流通),让嗅探器能顺利工作提供了便利。普通的嗅探器程序只是简单地进行数据的捕获,因此需要杜绝网络数据进行泛播。
随着交换机的价格下降,这种网络改造变得很容易而且很必须了。不使用HUB而用交换机来连接网络,就能有效地避免数据进行泛播,也就是避免让一个工作站接收任何非与之相关的数据。
对网络进行分段,比如在交换机上设置VLAN,使得网络隔离开,避免不必要的数据传送。
4、用静态的ARP表或者IP-MAC对应表代替动态的
该措施主要是进行渗透嗅探的防范,采用诸如ARP欺骗这样的手段能够让入侵者在交换网络中顺利完成嗅探。网络管理员需要对各种欺骗手段进行深入了解,比如嗅探中通常使用的ARP欺骗,主要是通过欺骗进行ARP动态缓存表的修改。在重要的主机或者工作站上设置静态的ARP对应表,比如WIN2K系统使用arp命令设置,在交换机上设置静态的IP-MAC对应表。防止利用欺骗手段进行嗅探的手法。
5、使用数据加密和加密协议
嗅探器捕获到的数据包需要进行解码(根据协议解码),未加密的网络数据正是嗅探器的捕获目标。因此,如果数据是经过加密的,那么即使解码得到了数据,也是加密不可用的。比如HTTP、POP3、SMTP、FTP、TELNET这些常用的协议都是没有经过加密的,帐号和密码进行明文传输,如果被嗅探器捕获到将非常危险。这就应该使用HTTPS、SSH等加密协议代替,或者使用其他第三方加密软件。
6、重视重点区域的安全防范
这里说的重点区域,主要是针对嗅探器的放置位置而言。入侵者要让嗅探器发挥较大功效,通常会把嗅探器放置在数据交汇集中区域,比如网关、交换机、路由器等等附近,以便能够捕获更多的数据。因此,对于这些区域就应该加强防范,防止在这些区域存在嗅探器。
上面主要是被动进行嗅探防范的措施。当然,这些被动措施是内部网络安全在防范嗅探方面的基础,但是,对于网络管理员来说,对付这些破坏力强大而隐蔽性又强的嗅探器更需要主动探测的方法。
主动探测嗅探器的方法也主要是从嗅探器的工作原理着手。嗅探器需要将网卡设置成为混杂模式才能工作,因此,有效地检测混杂模式的网卡也就能有效地探测嗅探器了。一种有效的检测工具就是:Anti-sniff,可以在http://www.securitysoftwaretech.com/antisniff/ 下载获得,也能得到相关的技术资料。
防范网络嗅探加强内部网络的安全,防止信息泄密,需要让安全管理者拥有比入侵者更多的知识,但更重要的还是在安全管理上。很遗憾的是,现在对网络嗅探的防范还没有得到管理上的重视。
作者:Refdom
