可能有人会问,手动设置IP地址的方式应该安全些吧?我们知道在普通交换机情况下都是无法进行嗅探的,因为数据包都被发送给指定的端口。但如果使用ARP进行欺骗,那么即使是使用交换机的网络也可以进行嗅探。打个比方:小区用户正在和某用户交换文件资料,传着传着……你的数据有可能跑到恶意攻击者的硬盘上去了。
很多ISP在建设小区宽带时为了缩减经费,干脆就直接使用HUB。在这样的网络环境下安全更是无法保证。虽然不少ISP在小区宽带中采用了IP+MAC绑定方式,并自以为这种方式很实用,但是稍有电脑常识的人都知道该如何去更改MAC地址。何况现在还有部分小区宽带没有对MAC地址进行绑定。
接入商该怎么做
作为ISP还是应该合理地使用IDS(入侵检测),积极地监测网络,对入侵与攻击做到及时防范。一旦有病毒爆发的迹象,IDS还能够自动识别并中断该部分网络与主网络间的连接,这样既能够阻止病毒的蔓延,还可以减少清除病毒时的复杂程度。同时ISP应尽量避免使用HUB,从基础设备上给入侵者设置一些障碍。
在用户认证方面,则应该尽量使用加密通道,千万不要把网络安全信任关系单独建立在IP或MAC基础上,理想的关系应该建立在IP+MAC上。并且应该通过交换机来划分VLAN,防止局域网内的交叉感染。
小资料
北京一个小区宽带网中加装了IDS后,攻击量从以往的4000多次下降到了30多次。
个人用户如何办
小区宽带的用户量很多,指望ISP逐一为每个用户安装补丁、查杀病毒不太现实。大家应该自己动手,防患于未然:首先要及时为自己的系统更新补丁,并且选择性能优异的防病毒产品;然后可以使用Windows自带的IPSEC建立安全策略,只允许受信任的DHCP服务器分配IP地址;最后禁止一些有潜在危险的端口访问。如:135、139等。可能很多用户对IPSEC还没有足够的认识,其实打开Windows2000/XP/2003操作系统中自带的ICF(InternetConnectionFirewall)一样可以提高操作系统的安全性。