随着人们对因特网的兴趣越来越高,网络安全逐渐成为全世界企业主要关注问题。事实上,用来充满公司网络安全的信息和工具可以很容易获得,提高了人们对它的关注程度。由于这种对网络安全关注的逐步重视,比起实际的网络安装和管理,网络管理者却是发更多的精力来保护他们的网络。用来探测系统易攻击的工具,像用来分析网络的安全管理者工具,一些最新可得到的扫描和察觉侵入者的程序饱和工具,对这些都很有帮助。但是,这些工具只能指出缺陷的范围而不可能提供防止网络所有可能被攻击的方法。因此,作为一个网络管理者,在这个世界上经常的跟上令人头痛的大量的安全问题。
当你将你的专网接入因特网后,你在物理上已经将你的网络宇超过5万个不知道的网络以及他们的用户连接在一起了。尽管这样的连接开放了很多有用的应用并提供了大量的共享资源的机会,但是大多数的专网包含一些专网以外的因特网用户不应该知道的信息。另外,不是所有的因特网用户都参与合法的活动。这两种状态预示了因特网安全问题后的关键问题:
1、 你是怎样阻止你的机密信息不被那些不应该知道的人说得到?
2、 你是如何防止黑客的攻击?
机密信息在网络上能有两种存在状态。一、存储在物理介质,二、在网络中以数据包形式传送。这两种信息状态展现了多种攻击机会,来自你私网内的,同样也有来自因特网的其他用户。
网络内的计算机是连续地通信的(一个信息片接着一个信息片传送),大量的信息片被分成更小的信息片。(信息流将被分成更小的信息片甚至网络通信是并行的,将信息流分成网络数据包最重要的原因是计算机的中间缓冲器容量是有限的。)这些更小的信息片就叫做网络数据包。一些网络应用是以明文的形式传播网络数据包,也就是这些信息在网络种传送是没有加密的,因此他们被截获后很容易的被理解。
一个网络协议明确规定了数据包的数据结构,这使得一台计算机能确定一个数据包是否指向它。由于网络协议是具体说明的,导致第三方能很容易翻译网络数据包并发展成一个数据包窃听者。
由于一些网络应用分配网络数据包是以明文的形式,一个数据包嗅探者能提供给它的用户丰富的并经常是敏感的信息,如用户帐号和密码。如果你使用网络化的数据库,一个数据包嗅探器者可以把从数据库中的信息截获给攻击者,像经常进出数据库的帐号和密码。
另外,很多网络管理者用数据包嗅探器来诊断和确定宇网络有关的问题。因为在这些网络管理者处理日常的工作过程中,他们可以地检查网络中传送的信息。
一种最坏的设想是:攻击者获得了进入系统层面的账户,攻击者可以用它来创建一个新的账户,这个账户可以在任何时候当作后门进入你的网络以及网络上的资源。攻击者可以更改系统关键这件,如系统管理员账户口令,服务及文件服务种的许可列表已经其他包含机密信息的计算机的登录详情。
数据包嗅探器提供的关于网络结构的信息对攻击者有作用。这些信息如什么电脑运行哪种服务器,多少计算机在这个网络上,哪些计算机有去其他计算机的途径等等,都能从作为必需的日常操作分配在网络上的数据包的信息中推断出来。
另外,一个网络数据包嗅探器可能会去插入新信息或改变已经存在的数据包的信息。通过这样做,该攻击者能使网络连接发生过早地关闭,与改变数据包内关键信息一样。难以想象攻击者将修改的信息传送到你的账户系统后发生的事情。这种攻击是很难察觉缺要耗费很多时间去改正。
网络经理人创建了网络安全政策,组成拓扑结构的每个网络可以被分类成三种类型的网络:
可信任的网络:
可信任的网络是在你的网络安全周边范围内的网络。这些网络是你将试着去保护的网络。经常是你或你的组织种的某个人操纵包含这些的计算机而你的组织控制他们的安全措施。通常地,可信任的网络在安全周边范围内。安装了防火墙服务器后,通过网络适应卡,你能清楚地识别出附在防火墙服务器上的网络类型。经过最初的布局后,可信任的网络列为放后墙服务器的一部分而所有的其它网络则拒之门外。
不可信任的网络:
不可信任的网络是那些被知道是在你的安全周边的网络。他们是不可信任的是因为他们不在你的控制范围内。对这些站点的管理或安全政策上你没有任何控制权。他们是私有的共享的网络并防止这些网络以保护自己的网络。然而,尽管他们是不可信任的,你仍需要与这些网络通信。安装了防火墙服务器后,你能从防火墙接受的请求来清晰地识别不可信任的网络。不可信任的网络在安全周边范围外并在防火墙服务器外部。
上一篇:VC++实现IP数据报的捕获与分析
下一篇:WinPcap网络协议分析的设计