<< Back to shouce.jb51.net

附录 A. 硬件和网络保护

在把机器部署成生产环境或把网络连接到互联网之前,你最好首先判定所在机构的需要,以及如何把安全需要尽可能透明地考虑在内。因为《红帽企业 Linux 安全指南》的主要目的是解释如何在 红帽企业 Linux 上进行系统保安,所以对硬件和物理网络安全性的详细阐述就超出了本书的范围。尽管如此,本章仍旧向你大致介绍了一下在硬件和物理网络方面该如何建立安全政策。其中要考虑的重点是:计算系统的需要和连接性的需要该如何适应整个安全政策。以下较为详细地解释了某些因素。

考虑了这些一般条件后,管理员就可以对实现方法有一个大致了解了。计算系统环境的设计就可以建立在机构的需要和保安的需要上 — 一种会均衡考虑这两种因素的实现方式。

A.1. 安全网络拓扑

LAN 的基础是拓扑(topology),或网络体系。拓扑是 LAN 的物理和逻辑布局,包括所提供的资源、节点间的距离、以及传输媒介。根据机构组织和网络服务的需要,网络实现方法有好几种。每种拓扑都有其优越性和安全局限性,在设计网络布局时你需要全面考虑它们。

A.1.1. 物理拓扑

电气和电子工程师学会(IEEE)为 LAN 的物理连接定义了三种常用拓扑。

A.1.1.1. 环形拓扑结构

环形(Ring)拓扑结构中的每个节点与它最邻近的两个节点连接,从而构成了一个圆环。环中的每个节点都能被其它节点访问(要么通过物理连接的最邻近的节点来直接连接,要么通过整个物理环来间接连接)。权标环、FDDI、和 SONET 网络就是用这种方式连接的(FDDI 使用双环技术);然而,使用这种物理拓扑没有公共的以太网连接,因此除了在陈旧的或带有大量已安装节点的机构设置(如大学)中外,环性结构不再被普遍部署。

A.1.1.2. 线形拓扑结构

线形(linear bus)拓扑结构由连接到一个被终结了的主线电缆(backbone)上的节点组成。线形拓扑结构需要最少量的布线和网络设备,因此它是最节省开支的拓扑结构。不过,线形结构要依赖于主线的时刻可用性,因而主线在被维护时或停用时就会成为单一失效点。线形拓扑结构在使用同轴电缆布线和在总线两端使用 50-93 ohm 终止器的端到端 LAN 中被普遍使用。

A.1.1.3. 星形拓扑结构

星形(Star)拓扑结构中,各节点都连接在一个中心点上,并通过它来传递通信。这个中心点叫做集线器(hub),它既可以是广播的(broadcasted),也可以是交换的(switched)。这种拓扑结构在连接各节点的中央联网硬件中会存在单一失效点问题。然而,由于这种中央化,影响到整个段或整个 LAN 的联网问题也可以轻易地追寻到它的起源。

A.1.2. 传输考虑

第 A.1.1.3 节介绍了广播和交换联网的概念。在测定联网硬件及其安全性能是否适合你的网络环境的时候,你需要考虑几个因素。以下区分了这两种截然不同的联网方式。

在广播式网络中,某个节点发送的分组将会穿过其它每个节点,直到接收者得到这个分组为止。网络中的每个节点在接收者处理该分组之前都可以收到这个分组数据。在广播式网络中,所有的分组都使用这种方式被发送。

在交换式网络中,分组不被广播,而是被交换集线器处理。交换集线器使用单播传输原则在发送和接收节点间创建一个“直接”连接。这就避免了给每个节点发送广播的必要性,从而降低交通费用。

交换式网络还会防止分组被蓄意不良的节点或用户截取。在广播式网络中,每个节点都会收到正前往目的地途中的分组,蓄意不良的用户可以把他们的以太网设备设为混杂(promiscuous)模式,接受所有的分组,不管数据的目的地是否是自己。一旦处于混杂模式,嗅探器就可以被用来过滤、分析、和重建分组,从而获取口令、个人数据等。精密老练的嗅探器程序还可以把这些信息贮存在文本文件中,甚至把这些信息发送给任意地方(如蓄意不良的用户的电子邮件地址中)。

交换式网络需要一个网络交换机。它是一种代替传统的、把所有节点连接到一个 LAN 上的集线器的专业化硬件。交换机把所有节点的 MAC 地址贮存在一个内部数据库中。这个数据库被用来执行所有的直接选路。包括 Cisco Systems、Linksys、和 Netgear 在内的几家生产厂商都提供了好几种交换机,它们的功能有:10/100-Base-T 兼容性、吉位以太网支持、以及 IPv6 联网。

A.1.3. 无线网络

当前企业界所面临的挑战是可流动性。远程工作人员、现场技术人员、以及主管人员都需要具备可移能力的解决方案,如便携电脑、个人数字助理(PDA)、以及对网络资源的无线存取能力。IEEE 为 802.11 无线规范建立了一个标准制定组。802.11 无线规范为在所有行业间进行无线数据通信建立了标准。当前被批准的无线联网 IEEE 标准是 802.11g 规范。802.11a 和 802.11b 规范已经是过时标准。802.11g 规范具备到 802.11b 的后向兼容性,但和 802.11a 却不兼容。

802.11b 和 802.11g 规范实际上是一组管理无许可的 2.4GHz 射频(RF)频谱的无线通信和存取控制的标准(802.11a 使用5GHz 频谱)。这些规范已被 IEEE 核定为标准,而且已有几家厂商开始推销 802.11x 产品和服务。顾客也开始接受该标准来用于小型办公室或家庭办公室(SOHO)网络。其流行性已经从 LAN 延伸到 MAN(城域网),特别是在无线存取点(WAP)密集的地方。使用该标准的还有无线互联网服务提供商(WISP),他们为需要使用宽带互联网访问来远程地从事商务的频繁旅行者提供服务。

802.11x 规范允许你在带有无线 NIC 的节点间进行直接的端到端的连接。这种对节点的松散组织也叫做特定(ad hoc)网络,它是在两个或两个以上的节点间进行快速连接共享的理想选择,但是它也带来了不适合于专用无线连接的可缩放性问题。

更适合于固定结构中的无线访问的解决方案是安装一个或多个连接到传统网络的 WAP,并允许无线节点连接到 WAP 就如同它是位于使用以太网为媒介的网络上一样。WAP 实际上充当连接到它上的节点和整个网络间的桥梁。

A.1.3.1. 802.11x 安全

虽然无线联网在速度和方便性方面都比传统的有线联网媒介要好,它的技术规范也有其局限性,你需要全面考虑。它最重要的局限性是其安全实现。

在成功地部署了 802.11x 网络后,许多管理员会在得意之余忘记了最基本的安全预防措施。由于所有的 802.11x 联网都使用高带 RF 信号来完成,被传输的数据很容易被使用兼容 NIC、类似 NetStumblerWellenreiter 的无线网络扫描工具、或者是 dsniffsnort 之类的常见嗅探工具的用户截取。要防止这种对专用无线网络的非法使用,802.11b 标准使用有线等效保密(WEP)协议。它是在每个节点间或在 WAP 和节点间的基于 RC4 的64或128位加密钥匙。该钥匙动态透明地加密和解密进入的分组。然而,要么是出于忘记,要么是出于对性能降低(特别是长途性能)方面的考虑,管理员常常会忽略这个共享钥匙加密方案。在无线网络上启用 WEP 能够大大减少数据被截取的可能性。

红帽企业 Linux 支持来自好几家厂商的多种 802.11x 产品。网络管理工具中包括一个配置无线 NIC 和 WEP 保安的设施。关于使用网络管理工具的信息,请参阅《红帽企业 Linux 系统管理指南》

仅依靠 WEP 仍旧不能够完全阻止意志坚定而又蓄意不良的用户。有些特定工具被刻意用来破译包含无线网络的 RC4 WEP 加密算式,从而推算出共享钥匙。AirSnortWEP Crack 就是这样的应用程序。要警戒它们,管理员应该严格遵守有关使用无线方法来存取保密信息的政策。管理员可以通过把无线连接仅限制在 SSH 或 VPN 之内来加强它们的安全性。SSH 或 VPN 在 WEP 加密之上又加入一个加密层。使用这种政策,网络之外的能够破译 WEP 加密的蓄意不良的用户就必须再破译 VPN 或 SSH 加密才能闯入。而 VPN 或 SSH 的加密方法可以利用 triple-strength 168 bit DES 算式加密(3DES)或专有算式来增强其破译难度。应用这些政策的管理员应该限制使用纯文本协议,如 Telnet 或 FTP,因为口令和数据可以使用前面提到的攻击方法而被截取。

最近被无线联网设备厂商采用的安全和验证方法是 Wi-fi Protected Access (WPA)。管理员可以通过使用管理客户存取无线网络钥匙的验证服务器来在他们的网络上配置 WPA。WPA 在 WEP 加密基础上进一步提高,它使用Temporal Key Integrity Protocol (TKIP) — 使用共享钥匙,将其关联到安装在客户系统上的无线网卡的 MAC 地址上。然后,共享钥匙和 MAC 地址的值被 initialization vector (IV) 所处理。IV 在每次分组传输后都改变钥匙,从而防止最常见的无线网络攻击。

然而,使用 TKIP 的 WPA 被认为是一种临时性解决方案。使用更强健的加密密码(如 AES)的方案正在开发之中,它具备提高企业无线网络安全性的潜力。

关于 802.11 标准的详情,情参阅以下 URL:

http://standards.ieee.org/getieee802/802.11.html

A.1.4. 网络分段和 DMZ

如果管理员想运行可从外部访问的服务,如 HTTP、电子邮件、FTP、和 DNS,推荐你把这些可公开利用的服务在物理上和逻辑上从内部网络中分离。防火墙以及被强化的主机和应用程序是防御临时或偶然入侵者的有效方式。然而,一个孜孜不卷的怪客却总能够找到进入内部网络的途径,如果他们攻击的服务和网络的其它部分位于同一个逻辑路径的话。可从外部访问的服务应该位于被安全行业称为“停火区域”(demilitarized zone,DMZ)的逻辑网络段,来自互联网的进入交通只能够访问那些服务,而且不允许进入内部网络。即便某个蓄意不良的用户攻破了“停火区域”(DMZ)内的某台机器,在另一个网络段内防火墙之后的内部网络也不会受影响。

多数企业都只能从一个有限的可公开选路的 IP 地址集合中提供对外服务,因此管理员可以利用精心设计的防火墙规则来接受、转发、拒绝、或否定分组传输。使用 iptables 或专用的硬件防火墙来实现的防火墙政策允许你编写复杂的选路和转发规则。管理员可以使用这些政策来把进入的交通疏散到指定地址、指定端口的指定服务,同时只允许 LAN 使用内部服务,从而防止 IP 假冒。关于实现 iptables 的详情,请参阅第7章