正在加载中

如何防止局域网被监听(2)

2019-05-25 00:08:25

    1、选用加密技能,完成密文传输

    从前面的剖析中,咱们看到,若把主机设置为监听形式的话,则局域网中传输的任何数据都可以被主机所窃听。可是,若窃听者所拿到的数据是被加密过的,则其即便拿到这个数据包,也没有用途,无法解密。这就好像电影中的电报,若不知道对应的暗码,则即便取得电报的信息,对他们来说,也是一无用途。

    所以,比较常见的防备局域网监听的办法便是加密。数据经过加密之后,经过监听依然可以得到传送的信息,可是,其显示的是乱码。成果是,其即便得到数据,也是一堆乱码,没有多大的用途。

    现在针对这种传输的加密手法有许多,最常见的如IPSec协议。Ipsec有三种作业形式:

    一是有必要强制运用,二是接收方要求,三是不选用。当某台主机A向主机B发送数据文件的时分,主机A与主机B是会先进行洽谈,其中包括是否需求选用IPSec技能对数据包进行加密。一是有必要选用,也便是说,无论是主机A仍是主机B都有必要支撑IPSec,否则的话,这个传输将会以失败告终。

    二是恳求运用,如在洽谈的过程中,主机A会问主机B,是否需求选用IPSec。若主机B答复不需求选用,则就用明文传输,除非主机A的IPSec战略设置的是有必要强制运用。若主机B答复的是可以用IPSec加密,则主机A就会先对数据包进行加密,然后再发送。经过IPSec技能加密过的数据,一般很难被破解。而且,重要的是这个加密、解密的作业对于用户来说,是通明的。也便是说,咱们网络管理员之需求配置好IPSec战略之后,职工不需求额定的动作。是否选用IPSec加密、不选用会有什么成果等等,职工主机之间会自己进行洽谈,而不需求咱们进行额定的控制。

    在运用这种加密手法的时分,唯一需求注意的便是如何设置IPSec战略。也便是说,什么时分选用强制加密,说明时分选用可有可无的。若运用强制加密的情况下,一定要保证通讯的双方都支撑IPSec技能,否则的话,就可能会导致通讯的不成功。最懒的办法,便是不管三七二十一,给企业内的所有电脑都配置IPSec战略。虽然,都会在增加一定的带宽,给网络带来一定的压力,可是,基本上,这不会对用户产生多大的直接影响。或许说,他们不可以直观的感受到因为选用了IPSec技能而形成的网络性能减慢。

如何防止局域网被监听(2)

    2、使用路由器等网络设备对网络进行物理分段

    咱们从上面的以太网作业原理的剖析中可以知道,如果出售部分的某位出售职工发送给出售司理的一份文件,会在公司整个网络内进行传送。咱们若可以规划一种方案,可以让出售职工的文件直接给出售司理,或许至少只在出售部分内部的职工可以收的到的话,那么,就可以很大程度的降低因为网络监听所导致的网络安全的风险。

    如咱们可以使用路由器来分离广播域。若咱们出售部分跟其他部分之间不是使用同享式集线器或许普通交换机进行衔接,而是使用路由器进行衔接的话,就可以起到很好的防备局域网监听的问题。

    如此时,当出售员A发信息给出售司理B的时分,若不选用路由器进行分割,则这份邮件会分成若干的数据包在企业整个局域网内部进行传送。相反,若咱们使用路由器来衔接出售部分跟其他部分的网络,则数据包传送到路由器之后,路由器会检查数据包的意图IP地址,然后依据这个IP地址来进行转发。

    此时,就只有对应的IP地址网络可以收到这个数据包,而其他不相关的路由器接口就不会收到这个数据包。很明显,使用路由器进行数据报的预处理,就可以有效的削减数据包在企业网络中传达的规模,让数据包可以在最小的规模内传达。

    不过,这个使用路由器来分段的话,有一个不好地地方,便是在一个小规模内依然可能会形成网络监听的情况。如在出售部分这个网络内,若有一台主机被设置为网络监听,则其虽然不可以监听到出售部分以外的网络,可是,对于出售部分内部的主机所发送的数据包,依然可以进行监听。如财务司理发送一份客户的应手帐款余额表给出售司理的话,有路由器转发到出售部分的网络后,这个数据包依然会到达出售部分网络内地任一主机。

    如此的话,只要出售网络中有一台网络主机被设置为监听,就依然可以窃听到其所需求的信息。不过若财务司理发送这份文件给总司理,因为总司理的网段不在出售部分的网段,所以数据包不会传送给财务部分地点的网络段,则出售部分中的侦听主机就不可以侦听到这些信息了。

    另外,选用路由器进行网络分段外,还有一个好的副效果,便是可以减轻网络带宽的压力。若数据包在这个网络内进行传达的话,会给网络带来比较大的压力。相反,经过路由器进行网络分段,然后把数据包控制在一个比较小的规模之内,那么显然可以节省网络带宽,提高网络的性能。特别是企业在遇到DDOS等相似攻击的时分,可以削减其危害性。

    3、使用虚拟局域网完成网络分段

    咱们不仅可以使用路由器这种网络硬件来完成网络分段。可是,这毕竟需求企业购买路由器设备。其实,咱们也可以使用一些交换机完成网络分段的功能。如有些交换机支撑虚拟局域网技能,就可以使用它来完成网络分段,削减网络侦听的可能性。

    虚拟局域网的分段效果跟路由器相似,可以把企业的局域网分割成一个个的小段,让数据包在小段内传输,将以太网通讯变为点到点的通讯,然后可以防止大部分网络监听的侵略。

    不过,这毕竟仍是经过网络分段来防止网络监听,所以,其也有上面所说的使用路由器来完成这个需求的缺陷,便是只可以削减网络监听侵略的几率。在某个网段内,依然不可以有效防止网络监听。

    所以,比较好的办法,笔者仍是引荐选用加密技能来防止网络监听给企业所带来的危害,特别好像防止用户名、暗码等关键信息被窃听。

相关内容推荐:如何防止局域网被监听(1)


标签: 网络监听
400-806-9611

周一至周日 9:00-18:00(仅收市话费)

售后服务