网络隔离
如果你的公司非常大,那么你很有可能有一台Web服务器作为公司网站的主机。如果这台网络服务器不需要访问后台数据库或者你私有网络中的其他资源的话,那么就没有理由把它放在你的私有网络中。既然你可以把这台服务器和你自己的网络隔离开来,那为什么要把它放在私有网络内部,给黑客一个进入你私有网络的机会呢?
如果你的Web服务器需要访问数据库或者私有网络中的其他资源,那么我建议你在你的防火墙和网络服务器之间放置一台ISA服务器。互联网用户同ISA服务器进行通信,而不是直接通过Web服务器访问。ISA服务器将代理用户和Web服务器之间的请求。你就能在Web服务器和数据库服务器建立起一个IPSec连接,并在Web服务器和ISA服务器之间建立起了一个SSL联接。
包监听
在你已经采取了所有必要的步骤来保护经过你的网络中的通信之后,我建议偶尔采用包监听来监视网络通信。这仅仅是一个预防措施,因为它帮助你了解在你的网络中究竟发生了哪些类型的通信。如果你发现了意料不到的通信包类型,你就可以查找到这些包的来源。
协议分析器的最大问题在于它可能被黑客所利用,成为黑客手中的利器。由于包监听的特性,我曾经认为不可能探测出谁在我的网络中进行包监听。包监听仅仅是监视线缆中发生的通信。由于包监听不改变通信包,那又怎么能够知道谁在进行监听呢?
其实检查包监听比你想象的要容易得多。你所需要的仅仅是一台机器作为诱饵。诱饵机器应该是一台除了你之外任何人都不知道它存在的工作站。确保你的诱饵机器有一个IP地址,但是不在域之中。现在把诱饵机器连接到网络中,并让它产生一些通信包。如果有人在监听网络。监听这就会发现这些由诱饵机器所发出的通信包。问题在于监听者会知道诱饵机器的IP地址,但是却不知道它的主机名。通常,监听者会进行一次DNS查找,试图找到这台机器的主机名。由于你是唯一知道这台机器存在的人,没有人会进行DNS查找来寻找这台机器。所以,如果你发现DNS日志中有人进行DNS查找来查找你的诱饵机器,那么你就有理由怀疑这台机器被利用来监听网络了。
另一个你可以采取、用以阻止监听的步骤是用VLAN交换机替换掉所有现有的集线器。这些交换机在包的发送者和接受者创建虚拟网络。包不再经过网络里的所有机器。它将直接从发送端发送到接受端。这意味着如果有监听者在监听你的网络,他就很难获得有用的信息。
这种类型的交换机还有其他的优点。对于一个标准的集线器,所有的节点都落在同一个域中。这就意味着如果你有100 Mbps的总带宽,那么带宽将在所有的节点之间进行分配。但是VLAN交换机却不是如此,每一个虚拟LAN都有专有的带宽,它不需要进行分享。这就意味着一台100 Mbps交换机能够同时处理好几百Mbps的通信量,所有的通信都发生在不同的虚拟网络上。采用VLAN交换机能够同时提高安全性和效率。
