DOIT 发表于:14年01月21日 14:39 [翻译] DOIT.com.cn
安全的数据中心可以帮助企业降低业务宕机和安全问题造成的损失。
传输在网络中的数据包一般都存在风险,IT安全专家们需要对此加以重视。
每时每刻,以百万计的网络数据包进入企业网络,安全专家有责任对这庞大的网络流量进行分析并阻止和减少恶意数据包对网络的危害。为了更有效率的履行上述职责,人们已经开发了不少方法和工具,如入侵检测系统,入侵防御系统,WEB应用防火墙等。若这些方法运用得当,可以非常有效的过滤恶意流量,保障网络安全。
然而,很多时候网络攻击者可以成功突破这些防御机制壁垒,人们往往更多在事后才发现入侵痕迹。这是攻击者与防守者之间的对弈,防守者则需要十分熟悉Wireshark网络分析技巧。
步骤一:设置捕获点
企业安全专家可能尝试的方法是,通过启用Wireshark捕获网络中两个不同点,来验证防火墙性能效率。首先,在直通模式设备的非军事区中,开启混合模式,并启动Wireshark进行抓包。这样能获取到所有试图通过网络的未过滤数据包。接着,立即在在防火墙后的某台设备上开启Wireshark。根据实际网络拓扑,可能需要配置一个监控点。在数据获取到一定量后,保存数据并开始分析。
步骤二:检查是否有入侵
对比步骤一中收集的两个数据包,对比依据为防火墙上设置的过滤规则,检查数据是否存在差异。例如,许多防火墙默认屏蔽所有TCP 23端口的Telnet流量。可以尝试从外部网络发起针对内部网络设备的telnet登录。检查Wireshark获取的数据内容,验证数据包是否有发往防火墙。接下来,需要见证防火墙后的Wireshark数据,通过过滤器塞选Telent流量,如果发现有任何Telnet记录,则说明防火墙配置存在严重问题了。
警觉的安全专家需要时刻意识到上述Telnet测试是最最基本的,对生产环境并不会有任何影响,因为当今最复杂的防火墙已经可以轻松拒绝传统非安全协议,如Telnet和FTP。尽管如此,既然已经着手测试,上述内容是一个不错的开始。所以,在我们通过Wireshark捕捉两台网络设备的数据包后,现在可以开始着手更深入的包检测方法。
步骤三:限制网络端口
在开启Wireshark一段时间后,停止捕捉并将文件保存为PCAP文件格式。如果两个捕捉点之间有任何互联网信息数据传输,那么数据包的数量将很快达到上千个。
大多数企业需要某种类型的网站展示,主要有两种可能性:业务需要Web服务器,而且服务器通常要开放TCP 80端口。由于通过80端口的HTTP流量无须任何验证,许多攻击者操作HTTP报文作为通过防火墙的方法,并以此窃取重要数据。简单来说。HTTP是大多数防火墙允许通过并直接放行的报文,所以攻击者会将攻击信息捎带在正常的数据报文中,作为获得某些授权的方式。
