【IT168 专稿】在上篇文章中我们为各位IT168读者介绍了如何在日常工作和网络应用过程中判断是否存在使用sniffer的窃听者,另外还为各位讲解了如何通过SSL加密通讯协议来保护我们的FTP登录以及正常数据通讯,让sniffer窃听者无法监控到我们的FTP登录帐号。当然内网应用是林林总总的,那么对于无法通过SSL加密通讯的网络服务来说我们还有其他办法来应对sniffer的监控吗?答案是肯定的,下面我们就来了解其他几个行之有效的方法。
一,用加密程序应对sniffer嗅探:
对于诸如MSN这类IM通讯工具来说由于默认情况下该软件的通讯内容都没有经过任何加密,所以使用sniffer对这些程序监控就可以了解到各个使用者MSN帐户信息以及对方帐户信息,甚至两者的通讯内容也都可以还原成明文信息。因此MSN通讯内容在sniffer软件下是没有任何隐私可言的。
就笔者经验来说我们可以通过专门的加密程序来保护MSN通讯,防止其信息被Sniffer所监控。笔者使用的加密工具是SimpLite For MSN。这个工具提供了2048bit字符串长度加密功能,能为MSN的交谈内容提供良好的隐蔽效果。他也是专门为MSN通讯工具所发布的。
SimpLite For MSN小档案:
软件版本: V2.2.4
软件大小: 3407 KB
软件语言: 英文
软件类别: 共享软件
应用平台: Win9x/NT/2000/XP
下载地址:http://www.skycn.net/soft/15529.html
第一步:双击下载的Simplite进行安装。进入simplite配置向导,进行加密设置。(如图1)
第三步:选择网络连接方式,有四种方式提供给我们,依次是直接连接,使用SOCKS4代理,使用SOCKS5代理,使用HTTP代理。
第四步:设置你需要加密的程序,这里选择MSN。(如图2)
第五步:向导设置完毕后就需要我们添加加密所需要的钥匙了。点任务栏中的“红色MSN图标”,开启密钥设置向导。
第六步:设置自己的加密类型和加密密码后软件会生成密钥。
第七步:软件会将生成的密钥显示出来,我们只要在MSN会话中使用这个密钥就可以实现聊天内容的加密效果了。(如图3)
第八步:每当你进行MSN聊天时任务栏上的Simplite都会工作。当然如果你聊天的对象没有安装Simplite的话,加密信息是无法传输给对方的。会出现“unencrypted,no simp remotely”的提示。(如图4)
所以说要想真正实现MSN通讯的加密,需要在聊天双方计算机上都安装这个Simplite工具,并生成相应的密钥。不过一旦成功加密使用sniffer这类软件就再也无法监测出聊天的真实内容了。
二,用代理应对sniffer嗅探:
那么可能有的读者会问如果某网络应用不支持SSL加密通讯又或者没有专门的加密程序匹配他的话,我们该如何操作来反sniffer嗅探呢?这就需要我们通过代理的方式解决了。
一般来说我们可以搜索的方法找到可用的代理服务器,然后设置网络应用使用该代理即可。如果找不到也不用担心,这里笔者为各位IT168读者介绍一款小巧且功能强大的代理服务搭建工具,通过他我们可以在内网建立一个专门属于自己的代理服务器,从而利用该代理服务器巧妙的应对sniffer嗅探。笔者推荐的这个代理服务搭建小工具名称为flosProxy,版本是Flos HTTP Proxy Ver1.0,大小只有20K,随附件将程序送上。
第一步:下载该代理服务搭建程序,然后直接运行主程序即可打开。
第二步:操作界面上手很简单,通过option对代理各个参数进行配置。
第三步:设置代理服务器使用的IP地址,端口号以及容许最大带宽等信息,当然还包括是否基于用户名和密码来验证代理,点OK按钮将设置保存,之后我们点主界面菜单中的启用代理即可。
第四步:客户端各个网络应用就可以利用设置的代理服务器IP地址以及恰当的端口来实现应对sniffer的功能了。(如图5)
不过通过代理的方式来应对sniffer嗅探存在一个缺点,那就是代理服务器所在IP不能够处于sniffer嗅探的网段内,否则代理服务器也被sniffer嗅探,那么相应的通过代理访问外部网络的各个应用与服务也将被sniffer嗅探到可用信息。另外由于各个网络应用都是通过代理服务器向外通讯,所以在使用和通讯速度方面会受到一定影响。
三,用SSH加密通讯应对sniffer嗅探:
我们通过前面介绍的种种方法基本上可以解决大部分网络应用需求了,通过这些设置让网络应用与服务可以顺利运行而又能够有效的防止sniffer类工具的嗅探。不过有时诸如管理路由器和交换机对安全性要求比较高,所以在这种情况下笔者还是建议大家使用SSH这个非常安全的协议来登录路由交换设备,当然在实施过程中我们需要对服务端和客户端进行分别设置,下面就来看看具体设置步骤。
小提示:
什么是SSH呢?SSH的英文全称是Secure Shell,是由芬兰的一家公司开发的。SSH由客户端和服务端的软件组成,有1.x和2.x两个不兼容的版本。SSH的功能强大,既可以代替Telnet,又可以为FTP、POP3和PPP提供一个安全的“通道”。使用SSH可以把传输的所有数据进行加密。即使有人截获到数据也无法得到有用的信息。同时数据经过压缩,大大地加快了传输的速度。
(1)在路由交换设备上设置SSH服务:
在Cisco路由器产品系列中只有7200系列,7500系列和12000系列(GSR)等高端产品的IOS支持SSH。一般支持SSH的IOS版本文件名中都带有K3或者K4字样,K3代表56bit SSH加密,K4代表168bit SSH加密。目前Cisco的产品都只支持SSH-1,还不支持SSH-2。对于默认不支持SSH的设置例如6509我们可以通过升级IOS来解决。
第一步:配置主机名(hostname)和ip地址的域名(domain-name)
Router#configure terminal
//进入配置模式
Router(config)#hostname softer
//设置路由器主机名为softer
softer(config)#ip domain-name softer.com
//设置IP地址的域名为softer.com。
第二步:配置登录用户名和密码(以本地认证为例)
softer(config)#username softer password 0 111111
//添加一个用户,用户名为softer,密码为111111。
softer(config)#line vty 0 4
//设置容许这个用户通过网络远程管理
softer(config-line)#login local
//设置本地登录路由器需要输入用户名和密码才行,默认的只需要输入密码,使用用户验证的方式能够更好的管理路由器。
小提示:
在输入login local命令时要特别注意,笔者就曾经过于着急的输入这个命令造成无法登录路由器了。因为一旦输入这个login local命令后登录路由器就必须输入用户名和密码两条信息了。
第三步:配置SSH服务
softer(config)#crypto key generate rsa
设置SSH连接的关键字,一般来说关键字就是主机名和域名结合而来的,例如本例主机名为softer,域名为softer.com。那么这个关键字就是softer.softer.com
接着会出现英文提示——How many bits in the modulus [512]:
这是让我们选择加密位数,用默认的512就行了。
softer(config)#end
结束SSH服务设置
softer#write
保存设置到start文件中。
第四步:检查SSH设置
如何检查SSH是否设置成功了呢?使用命令“show ip ssh”即可。会显示出如下信息。
SSH Enabled-version 1.5
Authentication timeout: 120 secs
Authentication retries: 3
这就表明SSH服务已经启动。
小提示:
如果我们希望将已经启动的SSH服务关闭的话,可以输入用以下命令softer(config)#crypto key zeroize rsa
第五步:设置SSH参数
配置好SSH之后,通过show run命令我们可以看到SSH默认的参数,其中超时限定为120秒,认证重试次数为3次,当然我们还可以通过下面命令进行修改。
softer(config)#ip ssh {[time-out seconds]} | [authentication-retries interger]}
例如如果要把超时限定改为180秒,则应该用softer(config)#ip ssh time-out 180命令;如果要把重试次数改成5次,则应该用softer(config)#ip ssh authentication-retries 5命令。
经过更加具体的配置后SSH就已经在路由器上成功建立了,用户就能够通过SSH进行安全登录了。
(2)在客户机上登录开启SSH服务的路由交换设备:
路由器上启用了SSH服务后还需要在客户机上安装SSH工具。网络上提供SSH连接传输功能的工具比较多,有兴趣的读者可以自行搜索并下载安装。笔者只介绍一个小巧的SSH客户端工具——WiSSH。
WiSSH小档案:
软件版本: Standard Edition V2.85
软件大小: 3215 KB
软件语言: 英文
软件类别: 共享软件
应用平台: Win9x/NT/2000/XP/2003
下载地址:http://www.skycn.net/soft/18218.html
下载该软件后直接安装,然后启动该软件,选择“LOGIN”标签,输入SSH服务器的IP地址,并且还需要输入在上面建立的访问用户,用户名为softer,密码是111111。设置好后点“connect”按钮连接即可。整个过程非常简单,非常好上手。(如图6)
通过Wissh连接路由交换设备将是非常安全的,一方面sniffer类工具是无法扫描到登录信息和配置的具体命令的,另一方面我们管理路由交换设备的速度与效率得到大大提升。
四,总结:
我们通过两篇文章为各位介绍了多种应对内网sniffer类工具监控与扫描的方法,当然这些手段都是被动形式的,只有在规章制度上严格禁止员工使用sniffer类工具并且与奖金挂钩必要时可以采取开除的方式,这样才能够最大限度的保护员工隐私信息的泄露。
