在讓伺服器上線運作,或將區域網路連上網際網路前,最好先決定您組織的需求, 並設定能兼顧方便的安全性策略。鑑於Red Hat Enterprise Linux 安全性設定手冊的 主要目的為解釋如何做好Red Hat Enterprise Linux的安全防護,因此詳細解說硬體與網路實體安全, 已經超出了本文件的範圍。然而,本章仍將以硬體與網路實體安全為出發點, 簡述如何建立安全政策。其中的重點包括,如何將運算與連接需求納入安全策略中。 接下來的章節將為您仔細描述這些重點。
電腦運算 所含括的範圍遠超過執行桌上型軟體的工作站, 現代的公司團體需要大量的電腦運算能力以及高存取性的服務,這包括了大型主機、 運算或應用程式的叢集系統、功能強大的工作站以及特殊目的的設備。 然而,這些公司 團體的需求也相對地增加了硬體失效、天然災害以及設備被竄改或竊取的機率。
連接性是系統管理者用來將網路上分散的資源, 連接在一起的方法。系統管理者可以使用乙太網路(以CAT-5/RJ-45網路線, 連接集線器或交換器),環狀網路,10-base-2同軸電纜,甚至無線網路 (802.11x)技術,達成這目標。視選用的網路而定, 管理者還需要搭配其他媒介與網路拓樸技術,例如集線器,交換器,路由器, 基地台,以及無線存取點等等。選用正確的網路架構,可以讓管理者在解決安全性問題時, 更為事半功倍。
藉由這些一般性的考量,系統管理員可以取得實作方式一個較佳的視界。 於是便可以 同時依據公司的需求與安全性的考量來設計電腦運算的環境 — 平均衡量兩個要 素的一個實作。
區域網路的基礎是 拓樸,或稱為網路架構。 從提供的資源、節點間的距離、以及傳輸媒體來看,拓樸就是區域網路 實際與邏輯的配置方式。根據公司對網路服務的需求,網路的實作方式也顯得多樣化。 每種拓樸都有其優點與安全問題,這是管理者在設計網路架構時, 需要仔細思考的問題。
如美國電子電機工程師學會 (IEEE) 所定義的,一個區域網路的實體連線含有三種常見 的拓樸。
環狀拓樸的每個節點都有兩組連線對外,最後形成一個環狀網路,每個節點都可以存取其他節點:如果不是直接跟緊鄰的節點交換資料,就是 透過這環狀結構跟其他的節點溝通。Token Ring, FDDI 與 SONET 網路都以這種方式連接 (FDDI則使用了雙環技術);然而,乙太網路卻不用這種網路拓樸, 所以除了沿用舊有環狀技術,或是擁有大量節點的機構(例如大學)以外, 環狀網路並不普遍。
第 A.1.1.3 節將為您簡介廣播與交換器兩種網路。 要評量何種網路型態較適合使用需求,同時又能兼顧安全性,需要考慮幾個因素。 底下我們將為您詳細解說這兩種網路的異同。
在廣播型的網路中,任何節點送出的封包,在送到目的地之前,會被其他所有節點所接收。 在收件者處理這封包之前,所有節點都會收到同樣的資料。在廣播型的網路中, 所有封包都一視同仁地以這種方式來處理。
在使用交換器的網路中,封包不以廣播的方式傳送,而是由交換器處理。 交換器會在發送與接收端之間,建立直接的網路連線。 這可以降低廣播至每個節點的封包數,降低網路負荷。
使用交換器的網路也可以防止封包被心懷不軌的使用者擷取。在廣播型網路中, 由於每個節點都可以擷取網路上的所有封包,因此只要使用者把乙太網路卡設為 promiscuous(混亂或隨機模式),那麼網路卡 就會接收所有封包,不管其目的地為何。接下來使用者就可以用網路監看程式來 過濾、分析、並重組封包,哪怕封包裡的資料是密碼、個人資料、或是其他。 更精密的網路監聽程式可以將這些資訊存成文字檔,甚至寄到任何地方(例如 駭客的電子郵件帳號)去。
交換式的網路需要一部網路交換器,取代原先連接所有節點的集線器。 交換器會將所有節點的MAC位址紀錄在內部的資料庫中,方便直接連接兩個節點。 許多製造商,包括思科(Cisco Systems)、友訊科技(D-Link)、SMC、以及 Netgear等,都生產了多種功能繁複的交換器,包括10/100-Base-T相容性、 Gigabit乙太網路支援、以及IPv6等等。
移動性(mobility)在企業用戶間,已經成為一項顯學。遠端工作者、駐外的工程師、 以及高階主管都需要可攜式的解決方案,例如筆記型電腦、個人數位助理(PDAs)、以及 無線網路等,以存取網路資源。IEEE已經為802.11無線網路規格,設立了專責小組, 訂定無線資料通訊的業界標準。目前已經通過的IEEE標準,包括最新的802.11g,以及 較舊的802.11a與802.11b。802.11g可向後相容於802.11b;但與802.11a並不相容。
802.11b 與 802.11g 規格實際上為管理在未經授權的 2.4GHz 的無線電(RF)頻譜中 (802.11a 使用 5GHz 的頻譜)的無線通訊與存取控制。 這些規格已經由 IEEE 通過 為標準,而且已經有許多廠商開始販售 802.11x 的產品 與服務。 消費者也已經開始為他們的 SOHO 網路添購這種標準的產品,特別是在無線 網路存取器(WAPs)聚集的區域。 還有無線的網路服務提供者(WISPs)為滿足經常旅居在 外的使用者,提供他們寬頻的網際網路存取以使他們可以遠端地處理生意上的事情。
802.11x 的規格允許含有無線網卡的節點間使用直接且點 對點的連線,這種稱為 ad hoc 網路的自由節點分組適用於兩個節點以上的快速連線共享,不過這其中也含有擴展性的問題,因此它並不適用於既定的無線網路連線。
對於繼有的網路架構來說,較適合的解決方案是在現有架構下,加裝一或數台 無線網路存取器(WAP),再讓其他無線節點透過WAP,連上乙太網路。WAP扮演 的角色正如橋接器,將無線網路與現有網路連接在一起。
雖然無線網路連線在速度上是可以匹敵的,而且更可以確定的是它比傳統有線網路連線 的媒介更加的便利,不過仍然有一些規格上的限制值得我們仔細地考量。 這些限制中最 重要的在於它的安全性實作。
在成功地安裝 802.11x 網路後,許多系統管理員都 會忘記設定最基本的保全預防措施。由於所有的 802.11x 網路連線都使用高頻率的 RF 訊號,因此擁有相容 NIC、無線網路掃描工具(如 NetStumbler 或 Wellenreiter) 以及一般的網路監聽工具(如 dsniff 與 snort) 的任何使用者都可以很容易地擷取傳輸中的資料。為了防止這種異常行為入侵私有無線網路,802.11b 標準使用 Wired Equivalency Privacy (WEP) 協定,這是一種以 RC4 為 基礎的 64 或 128 位元加密金鑰,在每一個節點間或 AP 與節點間運作。這個金鑰會將所有傳輸加密,然後動態且透通地解密外來的封包。然而系統管理員常常忽略了這個加密機制,可能是 忘記了,或是因為網路效能不彰(特別是在長距離的情況下),而選擇不採用加密機制。但不管怎麼說,在無線網路中啟用 WEP ,可以大大地降低資料被擷取的風險。
Red Hat Enterprise Linux 支援許多廠牌的 802.11x 產品,網路管理工具 中含有設定無線網路卡與WEP安全機制 的工具。如需關於使用 網路管理工具 的更多資訊,請參考 Red Hat Enterprise Linux 系統管理手冊。
然而,完全仰賴WEP並不足以保護無線網路免於惡意使用者的持續入侵。有些工具程式 專門設計來破解保護無線網路的RC4 WEP加密運算法,並算出金鑰:例如 AirSnort 與 WEP Crack 都是這種類型的工具。要保護無線網路免於這類攻擊,系統管理者應該將網路連線侷限 於SSH或VPN等安全防護機制下,這可以在WEP加密層之上,提供更進一層的保護。 如此一來,即使駭客成功破解了WEP,根據加密方式(例如三重168位元的DES(3DES)演算法, 或其他獨家的演算法則)的不同,他還得花大筆時間,破解VPN或SSH加密機制。 使用無線網路時,系統管理者一定要禁用純文字型態的通訊協定(例如Telnet或FTP), 否則藉由前述的攻擊方式,密碼與任何資料會輕易地被暴露出去。
無線網路製造商所採用的最新安全與認證技術為Wi-fi Protected Access (WPA)。系統管理者可以安裝 認證伺服器,管理所有使用者存取無線網路的金鑰。WPA使用了 暫時金鑰完整性協定 - Temporal Key Integrity Protocol (TKIP),利用分享的金鑰與用戶端無線網路卡的實體位址, 加上一組起始向量值 - initialization vector (IV),為每個封包加密。由於每個封包所使用的IV值都不同, 所以可以抵抗大部分常見的無線網路攻擊,安全性更勝WEP一籌。
然而,使用TKIP的WPA只是暫時的解決方案。加入更安全加密方式 (例如AES)的解決方案正在開發中,將來有可能會大幅改善企業的無線網路安全。
欲知更多802.11標準的相關訊息,請參閱以下網址:
http://standards.ieee.org/getieee802/802.11.html |
如果系統管理者需要安裝一些公開服務(如網站、電子郵件、FTP與DNS),那最好 將這些服務與內部網路區隔開來,不管是實際上的區隔或是邏輯上的區隔都行。 防火牆、專責的伺服器、以及應用程式都能有效的防止駭客入侵。然而,如果管理者 並未將外部與內部分開,那麼持續不懈的駭客一定可以找出入侵的途徑。根據業界的安 全標準,可供外部存取的服務應該要放在一塊非武裝中立區 (DMZ)中,這邏輯上的網路區段只讓網際網路的存取局限於這些公開服務;但無法進 入公司的內部網路。如此一來,即使駭客成功入侵了DMZ中的機器,他依舊無法存取 防火牆後方,屬於另一個網路區段的內部網路。
由於IP位址的日益稀少,大部分企業沒有足夠的IP位址架設伺服器,提供公開服務。 要解決這問題,管理者可以在防火牆上設定規則,接收、轉送、丟棄、或拒絕任何封包。 利用iptables指令或使用硬體防火牆,可以設定複雜的路由與轉 送規則。管理者可以利用這些規則,將外來的網路交通侷限在特定主機的特定服務與 連接埠,而內部使用者也可以接觸同樣的資源。這方式也可以防止IP偽冒的攻擊方式。 欲知更多iptables指令的相關訊息,請參閱第7章。