【TechTarget中国原创】在那儿...墙上的小插孔连接着世界,从互联网到你公司的薪水系统。只要网线插入这个插座,他们就开始工作!谁开始工作?你可能会问。让我们从那个神秘的,在一个还不错的,安静的会议或是培训室找到一个网络插孔的人开始来看这个问题。这么做的真正的问题是什么,你怎么对付他们呢?在这里,你将学习怎样提高网络安全性以消除物理安全威胁。
私人设施相较于公共设施一直拥有更高的安全性,因为它们更容易达到物理上的安全。公共场所——如医院,大学和图书馆——的安全保护可能是一项挑战,因为很难在物理上做到安全。不管公共或私人的场所,网络插座频繁使用的地方总是会有某种程度的安全风险。教室,座谈室和会议室都是通常不会锁门以及任何好奇的人都能进入一探究竟的问题区域。
让我们用实例来说明这些风险。假设黑客用笔记本电脑连上你所在大楼的网络插孔。大多数网络插孔是频繁使用,也就是说它们可以连接到网络设备功能区域上。假如你运行的是DHCP服务器,——它会为每一个连接到网络的设备分配一个IP地址——同样也会为黑客的笔记本电脑分配一个。如果没有使用DHCP,黑客可以很容易地使用嗅探器为他的笔记本电脑找到一个未使用的IP地址。一旦连接上网络,几个简单的命令就可以定位你的关键服务器,然后列举出用户帐户,服务就开始了。于是几分钟内,密码可能就泄露了,一两个服务器就可能被攻击了,游戏也就此结束;黑客已经赢了。摆在你面前的是一个真正的混乱情况。
幸运的是,总有办法避免物理安全威胁并阻止黑客——甚至能阻止供应商和承包商之类找到网络插孔来连接到你的网络。第一件你可以做的事是禁用会议室和教室的网络插孔,直到需要时才启用。另一个最佳实践是在任何可能的时候都把房间锁起来。第三个防御的办法是让你的网络交换机只允许特定MAC地址的网卡连接到网络。每一个网卡都有一个独一无二的MAC地址,虽然这个地址可以通过欺骗软件改变。更严格的方案是,配置你的网络服务器,要求在每个用户登录前先认证计算机。请记住,如果你想防止未经授权的人使用已经连接到你的网络电脑,如教室的电脑,除了要求用户认证,你应该在用户端和网络端都设置电脑开机锁和屏幕保护程序密码锁。欲了解更多有关证书的问题,请联系公钥基础设施(PKI)和数字证书系统的供应商。
大多数上述建议需要服务器和网络管理员的配合。如果你不向他们解释这些真实存在的安全风险,他们未必意识到这些改变能带来的价值。可用的网络插孔是黑客入侵的通道,一旦忽视,可能导致的重大安全事件。