一说到网络安全,基本都在说针对外部网络的安全,比如防火墙、IDS等,可是根据一些安全机构的调查,在企业遭受的入侵中,有70%以上的入侵来自于网络内部,特别是内网中的一些越权操作、违规操作会带来一些严重的问题。如果你是一名大中型网络里面的网络管理员,相信你一定心有感触——做网管,真难!
在密级较高的网络中,如政府的内部网、大型企业涉及核心技术的部门、军工、航空航天部门,这些地方都应该是纯粹的“局域网”,彻底和外部的Internet隔离的,即使如此,也依然存在一些安全问题,下面我们分别论述,并给出相应的解决办法:
1、虽然是纯内网,但内部的一些WEB服务、电子邮件等也是需要进行安全防护的,特别是研发、设计等部门的内部论坛、FTP等需要进行严格的控制管理,如跨部门访问等均需要进行控制;
解决方法:
a、划分VLAN,分割不相关部门,如研发属于vlan1、生产属于vlan2、设计属于vlan3、领导班子网络属于vlan4……虽然配置稍微麻烦,并且如果将来需要修改配置也麻烦一些,但是这种从网络设备下手的做法还是比较彻底的;
b、很笨的方法:将网络中的所有计算机重新划分部门,不同部门都是独立的子网,互不干涉……
c、利用内网管理软件进行管理,比较方便,如图1:
这样就轻轻松松的禁止了网络中计算机对192.168.5.xxx范围内80端口的访问,并且会产生报警行为提醒管理员。
2、内部网络中的计算机可能带有Modem,并且由于电话的大量存在和带有Modem功能的手机的大量普及,对各种拨号设备需要进行严格的控制;
解决方法:
a、涉密网络中一律采用内线电话,对可以当Modem拨号用高档手机等设备进行严格管理,但是管理固定电话容易,手机太难……
b、用网络管理软件进行管理,此类的软件也不算少了,多数都可以对拨号的Modem进行管理,进行“允许/禁止”管理并且可以按照时间段进行管理,如图2:
还有的可以允许拨某个号码,如果集团内部有拨号服务器则可单独允许拨打该号码。
3、对文档的运行次数没有相关限制,如带给客户的演示文档只允许运行3次,然后自动销毁;再者针对涉密文件的操作没有相应记录。如设计院的图纸、研究所的图纸等,谁操作、什么时候操作、进行了什么操作等没有一个完整的审核体系;
解决方法:
市面上现在主要有两种产品可以对文件的操作进行监控,分别是:
a、文档保护系统:可对文件设置运行的密码,并且可设置文件运行的次数到达了限定的次数则自动销毁,如图3:
b、安全审计系统:可对文件的操作进行严格的记录,用户、操作时间、操作行为等会一一记录在案,如图4:
4、若内部有人攻击服务器,并且拷贝了相关文件、清空了操作系统的日志,无有效的监控手段;
解决方法:
a、安装服务器防护系统:这个可能虚拟主机商用的很多。国内也有数家安全公司在做此类产品,由于是专门的服务器防护产品,因此功能强大,但是也正是因为是针对核心服务器进行防护,可能价格较高;
b、安全审计产品:实时采集操作系统的日志,即使清空了也会在审计系统里面保存有详细的记录,目前多数审计产品是按照点数出售,售价可能更容易接受一些。
5、对网络中允许过的程序没有任何审计;
解决方法:
a、如果环境是域,那么可以很方便的通过策略禁止一些程序的运行,简单方便。当然单机也可以指定策略禁止“QQ.exe”这样的程序运行,但是如果一台一台的设定……,并且万一要增加一个新的程序又要再来一次……弱弱的问一句:累不?^_^ 不过既然说到这里,还是说下如何在单机禁止运行某个程序:运行“gpedit.msc”选择用户配置-管理模板-系统,看到了“不要运行指定的Windows应用程序”了没有?右键“属性”添加禁止运行的程序,如图5:
这样我要是点这个程序就会提示图6:
b、如果是工作组的环境,则可采用安全审计系统实现,主要是进程的记录,对网络中运行过的程序可以记录下来,如果内部禁止运行“连连看.exe”这样的程序,我们可以在月底用安全审计系统生成一个运行过该程序的报表,然后就可以交给老板“砍人”了……
6、打印机可能大量存在,任何人均可打印文档,其中可能不乏涉密文档,但是对打印设备没有有效的监管;
解决方法:
a、 严格控制打印机,对桌面打印机严格控制,如只在非涉密部门使用或者干脆采用网络打印机,在网络打印机的控制部门对打印的内容进行审核、统计,不过比较耗费人力、物力。
b、采用专门的打印控制产品,进行控制,好的产品不近可以允许/禁止使用打印机,还可以对打印过的文件恢复出来!如图7:
7、内部人员由于重装系统或其它原因重新指定IP地址,造成内部IP混乱,经常造成IP冲突或私自修改IP进行破坏活动从个人带来责任界定上的困难;
解决方法:
a、管理手段:给每个人发一个不干胶贴纸,上面写着该员工使用的计算机的IP,不允许私设IP,管理难度较大。
b、用交换机端口绑定MAC,但对一些不可网管的低端交换机行不通;
c、采用网管软件进行IP或MAC的绑定,对试图修改IP的计算机一律记录在服务器端。如图8:
8、对内部网络中的软驱、光驱、各种移动设备没有有效的管理手段,如:U盘、移动硬盘、MP3、数码相机、带存储的手机等均可将内部文档拷贝出去造成泄密,但是又没有有效的管理手段。
解决方法:
a、破坏USB口——你在笑?我可是亲眼见过几家涉密单位网络中心的员工拿着尖嘴钳子扭坏USB口,也见过有用某种胶粘住USB口的,也有用易碎纸加盖公章制作封条粘在USB口上的……不过如果采用了前两种方法封堵USB口,那么你将来想再恢复USB口的时候恐怕就……
b、采用安全审计、内网安全管理软件,如5期黑防的USB Admin就可以,也有别的一些软件可以控制,好处是显而易见的:随时可以关闭、打开USB口而不用机器重启、可控制光驱、软驱,更有甚者可以禁止进入安全模式,如图9:
如果非法使用了USB设备,则会产生报警,图10:
9、员工或外部人员私自将笔记本电脑带入时,没有有效的报警、阻断手段;
解决方法:
a、 加强管理,也许你会说为什么我老是强调管理?其实没有百分之百的安全,并且“三分技术、七分管理”,技术再好,也只是能防止绝大多数人,一些牛人总是可以绕过,如果一个单位允许笔记本电脑随意带入、带出,有什么安全意义可言?
b、采用非法接入控制设备,对非法接入的设备自动发现,记录IP和MAC地址。现在市面上也有几款产品可以对随意修改IP地址的计算机和未在合法MAC列表中定义的计算机进行阻断。
10、内部网络中对数据库的监控不够,可能只是加强了存储、备份,但是如果有人对数据库发起攻击将很难查找相关责任人。
解决方法:
a、采用入侵检测设备,加强对数据库服务器的检测,可以达到一些效果,但是毕竟不是专业的产品,可能作用有限;
b、采用数据库审计产品,对数据库服务器进行审计。有两种方式:一种是在服务器安装客户端,但是如果数据库服务器有多种平台,如Windows平台的MS SQL、Linux平台的Oracle、对DB/2等数据库都需要定制客户端,安装麻烦一些;二是安装硬件设备抓获数据包进行分析,对select、delete等语句的执行进行审计,统计来源IP、操作的数据库、数据表、执行了什么操作。如图11:
结语:
相对于外部网络安全而言,内部网络的安全重视程度现在还远远不够,希望本文能给各位网络管理员带来一点新意,也希望能引起人们对内部网络安全的重视。我的QQ:175589438,也可以到黑防论坛给我留言。^_^
发表于:2006年8月《黑客防线》
如承蒙转载请注明发表于该期杂志,以及作者姓名,谢谢合作!
作者:张百川 (网名:网路游侠) http://www.youxia.org
