杜绝非法用户从内部连接到公司网络
来源:硅谷动力 更新时间:2008-09-08

   非法用户登陆到公司网络一般有连种途径,一是通过外部网络,如通过防火墙漏洞或者VPN漏洞等等。第二就是通过内部进行非法连接。一般来说,通过内部非法连接更加的简单,危害也更加的大。但是,相对来说,防治起来也更加的简单。下面笔者就结合一些具体的案例,来谈谈如何防止非法用户从惬意内部连接到公司网络。

  一、管理好你的无线网络。

  无线网络作为有线网络的重要辅助部分,在企业的网络组建中,具有不可小视的作用。但是,对于无线网络管理不当,也会给企业网络安全造成很多不必要的困扰。

  如笔者以前在一个工业区里上班,笔者办公室离另外一家企业的会议室只隔了一个小弄堂,大概5M左右的距离。而他们办公室中刚好有部署了一个无线路由器。有时候,我们利用笔记本的无线网卡的时候,往往会不经意的搜索到他们的无线网络。最可惜的时候,他们的无线网络还尽然不设置密码。这导致有些有无线网卡的员工经常问我,怎么他们的网络来时登陆到别人公司的网络中去。没办法,我这次只好当了一回黑客,轻松的登陆到他们的网络,并在他们的文件服务器上,留下了我的声音,提醒他们的网络管理员管理好他们的无线网络,不然造成损失的话,他们要自负。没过多久,他们也就设置了无线网络的密码。其实,这个情况已经由来好久,我相信很多公司的员工也遇到过类似的情况。在不小心登陆到他们的网络中后,我是不能够保证他们是否对这家公司的网络产生什么影响。如是否查看了他们公司的重要文件,等等。不过据我所知,他们公司网络邻居上照片很多,我们很多男同事茶余饭后就会拿他们的照片开刷。

  可见,若无限线网络管理的不好的话,则会给企业带来比较大的损失。为此,对于无线网络,笔者有如下的建议:

  1、为无线网络配置好连接密码。无线网络默认情况下,是没有连接密码的。也就是说,通过无线网络访问网络的时候,不需要通过用户名与密码。这对于企业的员工来说,确实方便,使用起来跟有线网络差不多,除了速度或者稳定性上面有一定的影响之外,跟有线网络一样的方便。但是,由于没有用户名或者密码,则任何一个用户,如企业无线路由器旁边的非公司员工,都可以登陆到企业的网络。以前我还听到过,一家公司旁边的一家住户,就利用公司的无线网络免费上了好几年的网。由于没有设置无线网络的连接密码,这就给了很多人有机可乘。利用公司的无线网络免费上网是小事情,若他们利用这干一些破坏的事情,如删除一些共享文件,泄露公司的信息,则给企业带来的损失就更大了。更有甚者,可能会在企业的网络内散发一些木马或者病毒,来窃取公司用户的邮件、QQ等账号或者密码,甚至网上银行的帐号与密码,那损失可是不可估量了。

  2、对无线网络进行IP地址与MAC地址的绑定。有时候,若用户反映每次利用无线网络连接的话,输入密码比较麻烦,则企业可以采用无线路由器的MAC地址绑定功能。一般来说,现在的无线路由器基本上都带有MAC地址绑定功能。利用这个功能,可以有效的避免非公司员工的电脑主机登陆到公司网络上。只是这个功能设置起来比较麻烦。要使用Mac地址来过滤上网用户的话,则网络管理员首先需要把公司所有可能用到无线网络的主机的MAC地址都找出来,然后一一输入到无线路由器上。此时,非公司的用户,由于其主机的MAC地址没有在无线路由器上,则其不能够连接到企业的网络中,即使有无线路由器的信号也不行。但是,很明显,收集各个用户的MAC地址信息并把他们一一的输入到无线路由器中,工作量比较大,虽然可以通过一定的技术手段实现成批导入,仍然比较麻烦。而且,这个MAC地址表需要根据企业网卡数量的增减而及时进行变化,也无疑增加了工作量。所以,一般情况下,能够利用密码来控制无线网络的连接,就利用密码,而不要使用MAC地址来过滤。

  二、管理好你的备用有线网络。

  有时候,有线网络由于受到地理位置的限制,当然没有有线网络那样被人盗连。但是,在一些企业中,仍然存在一些管理漏洞,使得非法用户轻松的利用有线网络登陆到企业的局域网中。

  如一些企业都会在会客室或者会议室部署一些有线网络端口,当客户或者供应商前来拜访时,就可以利用这些网络接口上网。但是,基本上没有对这些端口进行一些网络访问权限的控制。如这些有线网络的端口跟其他网络端口都有同等的网络访问权利。

  如笔者有一位朋友,就受到过类似的教训。他是一家培训企业的网络管理员,一次一个学员来他们的培训机构咨询相关的事宜,但是,由于他预约的培训讲师有事出去了一会儿,他就在公司的会议室等。而在公司的会议室中,有时会为了开会的方便,有一根网线。一开始,这个学员也可能不是要存心窃取培训资料,只是等的无聊想上网。就用自带的笔记本在会议室上网,连接到了公司的网络。结果呢,他就复制了公司网络中所有的培训资料。而这些资料一般对培训学生来说,都是保密的。

  可见,没有管理好你的有线网络,仍然会给人有机可乘。为此,对于有线网络端口的管理,从安全性方面出发,笔者有如下的建议。

  1、把一些备用的有线网络接口关掉。有时会,我们处于冗余的考虑,可能会在同一个办公室部署多个网络接口,以备当一个网线出现故障时,能够马上使用另外一个网线。这种网线冗余设计本身是好事情,但是,若管理不当的话,则会成为危害企业信息安全的一大杀手。因为有时我们网络管理员可能比较重视正在使用的网线接口的安全,而忽视了没有使用的网络接口的安全。当来公司拜访的客户或者供应商,随手拿起备用网线来上网时,则麻烦也就来了。所以,从企业的安全方面考虑,冗余网线是必要的,但是,在冗余的网线接口不用的时候,最好把另一端从路由器或者交换机上拔掉,或者把对应的端口禁用掉。等到需要用到的时候,再进行开通。

  2、对客户或者供应商设置一些专门的网络接口,以方便他们上网或者使用公司的打印机。有时会,当客户拜访或者产品检验的时候,他们确实需要访问公司的网络,利用公司网络进行上网或者使用公司的打印机。此时,一味的限制他们对于公司网络的管理,确实也不是一个可行的方法。对此,笔者的处理方法是,为他们设置一些专门的网络接口。如笔者的企业,在采购部门、质量部门、销售部门设置了三条线,这三条线是专门用来给外来人员用的。当然,我在权限上,都做了严格的限制。如通过路由器的访问控制列表,限制这些网线的端口,只有访问互联网以及公司内部几台网络打印机的权利。如此的话,他们及时连到公司的内网上,也不能够访问网络内其他主机的共享文件夹,不能够访问公司的文件服务器等等。把他们的权限限制到最小,从而保障企业内部网络的安全。同时,他们对互联网的访问,也不需要遵守我们的访问访问规则。如我们企业的网络访问规则是不允许员工使用QQ等聊天工具的。但是,客户的验厂人员则需要使用QQ等聊天工具。如此的话,我们可以设置这些专线工具,没有上互联网的限制。

  3、在安全性比较高的企业,还可以采用MAC地址绑定等手段,来限制外来人员采用未经授权的端口。以上这种方法,有个缺陷,其若没有采用我们为其准备的网络接口,而是采用其他员工主机的网络接口,则他们就仍然具有访问企业网络资源的权限。为此,对于安全性级别比较高的企业来说,这仍然是一个非常大的网络安全隐患。为此,我们可以通过一些技术手段,来杜绝这种情况的发生。如我们可以采用MAC地址绑定的方法。如在交换机上,把某些端口跟MAC地址绑定,允许只有特定的MAC地址才能够连接到交换机上,其他的MAC地址不能够连接。而对于某些端口,则没有MAC地址的限制,如对于一些专门为外来人员准备的网络接口。当然,在这些端口上,要根据端口来设置一些权限,只允许他们无限制的访问互联网,并且,只允许他们访问网络打印机,而无法网络网络内的其他资源。