大、中、小企业网络安全基础

大、中、小企业网络安全基础

作者：杜衡　来源：bbs.tech.ccidnet.com　

毫无疑问，网络安全一直是一个热门话题，并且在未来几年里仍将是一个热门话题。这个基本的思想保护你的网络不受外部世界的影响。然而，你也不能忘记从内部保护你的网络的安全。现在，有各种各样为中小企业提供的服务，然而，很难确定把重点放在哪个方面才能达到充分的网络安全。

关于网络安全基础的这一期指南旨在帮助你把重点放在你的网络和服务的策略领域，确保在不超出你的预算(尽管有时候超出预算是不可避免的)的前提下获得最佳的安全效果。我将介绍网络基础设施、活动目录、蜜罐(honey pots)和一些能够帮助你解决网络安全问题的资源。

网络基础设施:你的网络的核心

随着本地网络用户数量的不断增长，你的网络进行适当的分段是不可避免的。如果你的局域网有50个以上的用户，这就是开始考虑建立VLAN(虚拟局域网)的时候了。使用VLAN，你可以通过创建不同的广播域来为你的网络分段，并且同时提供增强水平的安全。敏感的部门和重要的服务可以很容易地与网络的其它部分隔离开来，有控制的访问你的网络资源在可能发生的内部或者外部攻击中将发挥重要的作用。

你还可以配置一个来宾VLAN(Guest VLAN)，这对大多数企业来收都是一个很普通的要求。来宾VLAN是限定访问互连网的来访者可以访问的网络，这个网络不会暴露我们的网络的其它内容。你可以按照你喜欢的任何方式配置来宾VLAN，如，是否规定只能有限地访问互联网或者严格限制访问内部资源和服务。

如果你需要在VLAN之间传送数据包，就需要一台3层交换机。这种交换机的起始价格为几千美元，是比较经济的选择。如果你的预算确实紧张，你可以考虑购买3550/3560或者3750型思科Catalyst系列交换机。这种交换机采用了合适的互联网操作系统，能够提供这种功能。然而，如果有可能增加一点预算，Catalyst 4500系列产品将是你最好的朋友。有些型号的交换机，如4507R，提供了全面的“监控引擎冗余”(Supervisor Engine Redundancy)功能，因此，在你的网络核心不会出现任何一点故障，深受工程师的喜爱。

活动目录:释放Windows的力量

Windows操作系统最近在服务器市场肯定占统治地位。你肯定有一些服务器至少安装了Windows 2000操作系统。通过安装活动目录，你能够自动地把你的网络资源连接在一起，提供一个管理的重心点。虽然这个规划和实施是一个很耗费时间的过程，不过，从活动目录提供的好处和安全性来看，耗费这些时间是值得的。

使用活动目录简单地点击几下鼠标，在用户级限制对工作站的修改、安装程序、改变网络设置和强制执行安全策略等工作就可以很容易地完成了。包括操作系统补丁和杀毒软件更新等在内的应用程序更新不再是令人担心的需要耗费很长时间的任务了，因为这些任务通过设置可以由活动目录自动完成。

如果你到目前为止还没有使用过活动目录，你可以花点时间研究一下这个课题。这肯定能够使你大开眼界。

网络备份:如果你没有测试，你就不要用

目前，每个人肯定都使用一种备份技术。如果你还没有使用，那么，现在就是你认真考虑这个问题的时候了。

无论你如何进行你的备份，一些简单的做法被证明是非常有用的，并且能够帮助你节省很多时间，缓解紧张，甚至在某种情况下还能挽救你的工作。如果你正在使用最新的技术进行备份，你必须进行一次全面的恢复工作以确保这种最新的备份技术能够正常工作。

每一周或者两周进行一次全面的恢复工作是必要的，这可以根据工作量和你要处理的数据类型而定。由于存储介质出现故障，一个公司最近的备份不能恢复了。这是非常尴尬的事情。我确认你一定不会愿意陷入这样的窘境。

如果由于敏感性的原因你不相信传统的备份磁带方式，你可以选择能够满足你的备份需求的RAID解决方案“RAID 10”。这个解决方案包括了两台RAID 5磁盘阵列，能够提供多个硬盘故障的冗余。当然，不利的因素是这些设备的成本高一些。

有付出就有回报。因此，你需要问自己(或者你的经理):你的数据确实值多少钱?

蜜罐:抓住坏蛋

我们都知道，防火墙是设计用来保护网络不受攻击和阻止非法访问的。这就是我们把防火墙称作保护/防御技术的原因。入侵检测系统是用来监控和检测网络突破企图的设备。入侵防御系统是以预防技术为基础的，主要是采取措施阻止非法的访问。

蜜罐是一个相当新的概念，然而遗憾的是没有广泛应用。虽然蜜罐还不能确切地定义为哪一类产品，但是，蜜罐是介于入侵检测和防御技术之间的一种技术。正如名称解释的那样，蜜罐是运行特别的检测和审计程序的没有使用补丁的机器，装扮成包含重要数据的服务器，等待黑客的攻击。正如你了解的那样，蜜罐很容易吸引到非法的访问。

蜜罐通常放在重要的区域，如公共服务器或者内部服务器群，能够迅速发现试图攻破这些系统的黑客。然后，从这些攻击中收集到的信息将用于防御黑客对真正的服务器的攻击。由于蜜罐确实没有防御攻击或者黑客的安全措施，蜜罐连接到互联网上之后通常是最先受到扫描和攻击的机器。

恢复和安全监控

最后，监控你的资源。你通过简单地监控你工作中正在使用的资源就可以防御可能造成灾难的攻击是很神奇的。好消息是有一些开源软件工具能够完全满足你监控的需求，如监控你的服务器资源、主干网络连接以及公共网络服务器等各种需求。这些工具包括Nessus、Snort、MRTG、Nagios和Cacti等。

网络安全显然并不只是处理防火墙的问题。网络安全包含努力的工作以及根据复杂性、规模和你的网络的需求提供的不同层次的保护措施。没有一种具体策略能够适用于所有的网络。每一个网络都是独特的，必须要采取那种方式对待才能产生理想的结果。

如果你对网络安全还是一个新手，或者仅仅是为了获得一个包罗万象的指南，你可以查看“Firewall.cx”网站并且阅读“网络安全介绍”部分。这部分内容包括:对企业的威胁、入侵检测系统、攻击者使用的工具、入侵测试等内容。

跟上最新的技术和了解网络安全领域各个不同方面的新闻报道。互联网上有很多极好的资源。你要做的所有的事情就是搜索这些资源。

无线网攻击工具进攻方法及防范技巧

作者：smelr　来源：bbs.tech.ccidnet.com　

对无线网安全攻防有兴趣的人应该都需要一套工具，英特网上有很多免费的工具。本文不求全面，但求能提供一些指导和建议。

找到无线网络

找到无线网络是攻击的第一步，这里推荐两款常用工具:

1、Network Stumbler a.k.a NetStumbler。这个基于Windows的工具可以非常容易地发现一定范围内广播出来的无线信号，还可以判断哪些信号或噪音信息可以用来做站点测量。

2、Kismet。NetStumbler缺乏的一个关键功能就是显示哪些没有广播SSID的无线网络。如果将来想成为无线安全专家，您就应该认识到访问点(Access Points)会常规性地广播这个信息。Kismet会发现并显示没有被广播的那些SSID，而这些信息对于发现无线网络是非常关键的。

连上找到的无线网络

发现了一个无线网络后，下一步就是努力连上它。如果该网络没有采用任何认证或加密安全措施，你可以很轻松地连上它的SSID。如果SSID没有被广播，你可以用这个SSID的名称创建一个文件。如果无线网络采用了认证和/或加密措施，也许，你需要以下工具中的某一个。

1、Airsnort。这个工具非常好用，可以用来嗅探并破解WEP密钥。很多人都用WEP，当然比什么都不用要好。在用这个工具时你会发现它捕获大量抓来的数据包，来破解WEP密钥。还有其它的工具和方法，可以用来强制无线网络上产生的流量去缩短破解密钥所需时间，不过Airsnort并不具有这个功能。

2、CowPatty。这个工具被用作暴力破解WPA-PSK，因为家庭无线网络很少用WEP。这个程序非常简单地尝试一个文章中各种不同的选项，来看是否某一个刚好和预共享的密钥相符。

3、ASLeap。如果某无线网络用的是LEAP，这个工具可以搜集通过网络传输的认证信息，并且这些抓取的认证信息可能会被破解。LEAP不对认证信息提供保护，这也正是LEAP可以被攻击的主要原因。

抓取无线网上的信息

不管你是不是直接连到了无线网络，只要所在的范围内有无线网络存在，就会有信息传递。要看到这些信息，你需要一个工具。

这就是Ethereal。毫无疑问，这个工具非常有价值。Ethereal可以扫描无线和以太网信息，还具备非常强的过滤能力。它还可以嗅探出802.11管理信息，也可被用作嗅探非广播SSID。

前面提高的工具，都是你无线网络安全工具包中所必须的。熟悉这些工具最简单的办法就是在一个可控的实验环境下使用它们。这些工具都可以在英特网上免费下载到。

防范这些工具

知道怎样使用上述工具是非常重要的，不过，知道怎样防范这些工具、保护你的无线网络安全更重要。

防范NetStumbler:不要广播你的SSID，保证你的WLAN受高级认证和加密措施的保护。

防范Kismet:没有办法让Kismet找不到你的WLAN，所以一定要保证有高级认证和加密措施。

防范Airsnort:使用128比特的，而不是40比特的WEP加密密钥，这样可以让破解需要更长时间。如果你的设备支持的话，使用WPA或WPA2，不要使用WEP。

防范Cowpatty:选用一个长的复杂的WPA共享密钥。密钥的类型要不太可能存在于黑客归纳的文件列表中，这样破坏者猜测你的密钥就需要更长的时间。如果是在交互场合，不要用共享密钥使用WPA，用一个好的EAP类型保护认证，限制账号退出之前不正确猜测的数目。

防范ASLeap:使用长的复杂的认证，或者转向EAP-FAST或另外的EAP类型。

防范Ethereal:使用加密，这样任何被嗅探出的信息就很难或几乎不可能被破解。WPA2，使用AES算法，普通黑客是不可能破解的。WEP也会加密数据。在一般不提供加密的公共无线网络区域，使用应用层的加密，像Simplite，来加密IM会话，或使用SSL。对于需要交互的用户，使用IPSec VPN，并关闭分隧道功能。这就强制所有的流量都必须通过加密隧道，可能是被DES、3DES或AES加密的。