【IT168 专稿】中小企业网络管理员在工作职责上是身兼数职,一方面要保证企业内网各个网络应用与服务的正常运行,另一方面还要确保企业内部网络和员工计算机的安全。不过在实际维护过程中我们可能会遇到有内部员工使用sniffer进行嗅探的事情,要知道sniffer嗅探将泄露企业内部网络通讯数据的隐私,那么我们如何有效的解决和应对sniffer嗅探呢?今天笔者就从自己的经验出发为各位浅谈反sniffer技术在企业中的应用。
一,sniffer在内网存活的危害:
sniffer的功能是针对网络中的数据包进行监视与扫描,结合镜像端口可以实现对网络所有数据包内容的记录,从而破解其中的实际内容窃取隐私信息,当然如果没有办法利用镜像端口进行sniffer的话直接连接交换机端口也可以获取部分数据包信息。(如图1)
因此不管是普通端口还是镜像端口只要网络中存在着sniffer监控者就会多网络数据包内容进行窃取,而且由于sniffer针对网络流量进行记录,所以势必造成网络带宽的紧张,让网络数据丢包率大大提高。
Sniffer存活在企业内网中不仅仅将造成我们IM聊天信息的泄露,还可能让我们访问企业网络应用与服务的登录信息泄露出去,服务器密码,路由器交换机的管理帐户以及FTP服务器的用户密码等信息都在泄露之列。(如图2)
二,发现sniffer嗅探:
那么我们如何才能够发现网络中是否存在sniffer监控者呢?就笔者个人经验来说我们可以通过以下几个方法来排查并在第一时间发现不对劲的地方。
(1)网络通讯数据包掉包率突然增加:
众所周知正常情况下TCP/IP协议的数据通讯是比较有保障的,所以平时ping或者两点之间通讯掉包情况并不多见,不过当网络中存在使用sniffer类软件人员的话网络通讯掉包率将反常,丢包现象比平时要高出很多,我们可以通过大包ping的方法来检测,具体指令是ping IP地址 -l 10000,后面的10000代表着使用10000bit的数据包ping目的地址,ping这样的命令会告诉你掉了百分几的包。当然我们也可以通过一些网络软件看到信息包传送情况。如果网络中有人在Listen监听,那么信息包将无法每次都顺畅的传送到目的地,这主要是由于sniffer拦截每个包所导致。
(2)网络带宽及流量出现异常。
由于sniffer会监控网络中的所有数据包,所以无形中网络数据包总量成倍的增长,因此当网络内部有人在使用sniffer时我们通过某些带宽控制器(通常是防火墙所带),可以实时看到目前网络带宽的分布情况,如果某台机器长时间的占用了较大的带宽,这台机器就有可能在监听。在非高速带宽应用上,比如1M带宽以下的网络出口,那么当网络中存在sniffer,你应该也可以察觉出网络通讯速度的变化。
那么当我们发现企业内网存在有人使用sniffer监听数据包的话该如何应对呢?除了人为的阻止外是否可以通过其他软件硬件的方式让监听行为失去效果呢?下面我们就从多个角度来讲解下反sniffer技术在企业中的应用。
三,用SSL加密通讯应对sniffer嗅探:
首先我们来看看FTP通讯,一般来说FTP登录过程都是使用明文进行通讯的,所以使用sniffer类工具可以轻松的窃取帐户名和密码。不过一旦我们使用SSL加密通讯协议,Sniffer将无法发现任何FTP访问信息,下面我们就来看看如何实现SSL加密通讯让Sniffer睁眼瞎。笔者以大家比较常用的serv-u软件为例进行介绍。
小提示:
什么是SSL加密协议?SSL协议(Secure Socket Layer,安全套接层)是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中,采用了公开密钥和私有密钥两种加密方法。所以使用SSL协议后我们就可以保证网络中传输的数据不被非法用户窃取到了。
(1)创建SSL证书
要想使用Serv-U的SSL功能,需要SSL证书的支持才行。虽然Serv-U在安装之时就已经自动生成了一个SSL证书,但这个默认生成的SSL证书在所有的Serv-U服务器中都是一样的,非常不安全,所以我们需要手工创建一个自己独特的SSL证书。
第一步:在“Serv-U管理员”窗口中,展开“本地服务器->设置”选项,然后切换到“SSL证书”标签页。
第二步:创建一个新的SSL证书。首先在“普通名称”栏中输入FTP服务器的IP地址,接着其它栏目的内容,如电子邮件、组织和单位等,根据用户的情况进行填写。(如图3)
第三步:完成SSL证书标签页中所有内容的填写后,点击下方的“应用”按钮即可,这时Serv-U就会生成一个新的SSL证书。
(2)启用SSL功能
虽然为Serv-U服务器创建了新的SSL证书,但默认情况下,Serv-U是没有启用SSL功能的,要想利用该SSL证书,首先要启用Serv-U的SSL功能才行。
第一步:要启用Serv-U服务器中域名为“softer”的SSL功能。在“Serv-U管理员”窗口中,依次展开“本地服务器->域->softer”选项。
第二步:在右侧的“域”管理框中找到“安全性”下拉列表选项。这里Serv-U提供了3种选项,分别是“仅仅规则FTP,无SSL/TLS进程”、“允许SSL/TLS和规则进程”、“只允许SSL/TLS进程”,默认情况下,Serv-U使用的是“仅仅规则FTP,无SSL/TLS进程”,因此是没有启用SSL加密功能的。
第三步:在“安全性”下拉选项框种选择“只允许SSL/TLS进程”选项,然后点击“应用”按钮,即可启用softer域的SSL功能。 (如图4)
小提示:
启用了SSL功能后,Serv-U服务器使用的默认端口号就不再是“21”了,而是“990”了,这点在登录FTP的时候一定要留意,否则就会无法成功连接FTP服务器。
(3)使用SSL加密连接FTP
启用Serv-U服务器的SSL功能后,就可以利用此功能安全传输数据了,但FTP客户端程序必须支持SSL功能才行。如果我们直接使用IE浏览器进行登录则会出现图9显示的错误信息,一方面是以为没有修改默认的端口21为990,另外IE浏览器不支持SSL协议传输。
当然支持SSL的FTP客户端程序现在也比较多,笔者以“Flash FXP”程序为例,介绍如何成功连接到启用了SSL功能的Serv-U服务器。
第一步:运行“FlashFXP”程序后,点击“会话->快速连接”选项,弹出“快速连接”对话框,在“服务器或URL”栏中输入Serv-U服务器的IP地址,在“端口”栏中一定要输入“990”,这是因为Serv-U服务器启用SSL功能后,端口号就从“21”变为“990”。
第二步:输入可以正常登录FTP服务器的“用户名”和“密码”。 (如图5)
第三步:切换到“SSL”标签页,选中“绝对SSL”选项,这一步骤是非常关键的,如果不选中“绝对SSL”,就无法成功连接到Serv-U服务器。最后点击“连接”按钮。 根据实际传输情况在绝对SSL下方的四个选项进行选择即可。(如图6)
第四步:当用户第一次连接到Serv-U服务器时,Flash FXP会弹出一个“证书”对话框,(如图12)这时用户只要点击“接受并保存”按钮,将SSL证书下载到本地后,就能成功连接到Serv-U服务器,以后和Serv-U服务器间的数据传送就会受到SSL功能的保护,不再是以明文形式传送,这样就不用再担心FTP账号被盗,敏感信息被窃取的问题了。在Flash FXP的下方我们也会看到一个小锁的标志了,他代表当前传输是加密安全的传输。(如图7)
小提示:
如果我们仅仅选择接受则每次登录FTP时都会弹出这个证书对话框。
至此我们就实现了通过SSL加密通讯协议保护FTP登录及通讯的任务,任何非法sniffer者都无法窃取我们的绝密隐私了。
四,总结:
由于篇幅关系本文主要讲解了比较实用的在内网中检测是否存在sniffer主机的方法,并且还介绍了如何通过SSL加密通讯协议保护FTP通讯免受sniffer监听工具的骚扰。在浅谈反sniffer技术在企业中的应用(下)一文中我们会为各位IT168读者介绍更多的防范方法。