附錄 A. 硬體與網路的保護

在配置一部機器到生產環境或將您的網路連線到網際網路之前,最好先找出公司的需求 以及如何在不大費周章的情況下設定安全性以符合這些需求。 因為 Red Hat Enterprise Linux 安全性設定手冊 的主要目的是解釋如何保全 Red Hat Enterprise Linux,更詳盡的硬體與實際網路安全的檢查 已經超越這本手冊的範圍。 然而這個章節將提供您建立關於硬體與實際網路之安全性 策略的一個簡要概要。 您需要考慮的重要因素包括了整體的安全性策略如何因應電腦 運算與連接性的需求,以下的資訊將詳細地解釋某些因素。

藉由這些一般性的考量,系統管理員可以取得實作方式一個較佳的視界。 於是便可以 同時依據公司的需求與安全性的考量來設計電腦運算的環境 — 平均衡量兩個要 素的一個實作。

A.1. 安全的網路拓樸

區域網路的基礎是 拓樸,或稱為網路架構。 拓樸就是根據 所提供之資源、節點間之距離以及傳輸媒體之區域網路的一個實體與邏輯佈置。 取決於公司網路服務的需求,網路的實作方法有許多種選擇。 當網路設計者設計網路 佈置時,他們必須要考慮到每一種拓樸的優點以及安全性議題。

A.1.1. 實體拓樸

如美國電子電機工程師學會 (IEEE) 所定義的,一個區域網路的實體連線含有三種常見 的拓樸。

A.1.1.1. 環狀拓樸

環狀拓樸以兩個連線連接每一個節點,這將會建立一個環狀的 結構,使得每一個節點都可以存取其他節點,直接藉由實體上最接近的兩個鄰近節點, 或者是透過實體環狀結構間接存取。 Token Ring, FDDI 與 SONET 網路都是以這種方式 連線的(FDDI 利用一個雙環的技術); 然而一般的乙太網路連線並不使用這種實體的 拓樸,所以除了在舊式的設定或含有已安裝的大型節點基地(例如大學校園)的公共團體 設定外,環狀拓樸並沒有被廣泛使用。

A.1.1.2. 直線匯流排拓樸

直線匯流排拓樸含有連接到一個阻絕的主要直線纜線(主幹) 的節點。 直線匯流排拓樸需要最少量的纜線佈置以及網路連線設備,使得它成為最經 濟的拓樸。 然而,直線匯流排的關鍵在於主幹的可用性,這使得當主幹必須要離線或 發生失效的情況時,將造成單一節點的失效狀況。 直線匯流排拓樸最常被使用在點對 點的區域網路設定中,使用同軸電纜的纜線配置以及在匯流排的兩端使用 50-93 歐姆 的阻絕器。

A.1.1.3. 星形拓樸

星狀拓樸利用一個中心點,使得所有節點都可以彼此連線, 並透過它來互相通訊。 這個中心點稱為一個『廣播的 或 『切換的』 的『集線器』。 這種 拓樸在連結所有節點的中央網路連線硬體含有單一節點失效的狀況,然而也由於這種中 心控制的特性,使得影響網路區段或整個區網的網路連線議題都可以很容易地追查到這 個問題的來源。

A.1.2. 傳輸的考量

在廣播的網路中,一個節點將會傳送一個封包,該封包將會穿過每一個節點直到收件者 接收該封包為止。 在收件者處理這個封包之前,網路中的每一個節點都會以為接收到 這個封包中的資料,在廣播的網路中,所有的封包都是以這種方式來傳送。

在含有網路切換器的網路中,封包將不以廣播的方式傳送,不過封包將會在切換的集線器 中被處理,然後在使用單點傳播的傳輸方式在傳送與接收的節點間建立一個 直接的 連線。 這將會減少廣播封包到每一個節點的需要,也相對減少了網路的流量。

含有網路切換器的網路也可以防止封包被惡意的節點或使用者所擷取,在廣播的網路中, 由於每一個節點都會接收到傳送中的封包,惡意的使用者可以設定他們的乙太網路裝置 為混雜(promiscuous)模式來接受所有的封包,不管該封包的 目的地節點是否為它們。 一旦設為混雜模式後,使用使用網路監聽的應用程式來過濾、 分析以及重建密碼、個人資料等等的封包。 較精密的網路監聽程式可以儲存這些資訊為 文字檔案,甚至傳送這些資訊到任意的來源(如惡意使用者的電子郵件地址)。

切換式的網路需要一部網路切換器,這是一個特殊的硬體,用來取代區網中所有節點 都連接到的傳統集線器的角色。 切換器將會儲存所有節點的 MAC 位址在一個內部的 資料庫中,以便使用來執行直接的路由選擇。 包括了 Cisco Systems, Linksys 與 Netgear 等的許多製造商都提供了許多種類型的網路切換器,並且含有例如 10/100-Base-T 相容性、gigabit 乙太網路的支援以及支援載波感測多重存取/碰撞偵測(CSMA/CD)的 網路協定(適用於高流量的網路環境,因為它會佇列連線並且可以偵測到傳輸中的封包 碰撞)等的特色。

A.1.3. 無線網路

移動性(mobility)的議題在今日逐漸受到企業的重視,遠端的工作者、實地服務的工程師 以及主管人員需要移動式的解決方案,如筆記型電腦、個人數位助理(PDAs)以及無線存取 網路資源。 IEEE 已經為 802.11 無線網路的規格設立一個標準的團體,以用來建立在 所有業界中共通的無線資料通訊標準。 在今日所實行的標準為 802.11b 規格。

802.11b 與 802.11g 規格實際上為管理在未經授權的 2.4GHz 的無線電(RF)頻譜中 (802.11a 使用 5GHz 的頻譜)的無線通訊與存取控制。 這些規格已經由 IEEE 通過 為標準,而且已經有許多廠商開始販售 802.11x 的產品 與服務。 消費者也已經開始為他們的 SOHO 網路添購這種標準的產品,特別是在無線 網路存取器(WAPs)聚集的區域。 還有無線的網路服務提供者(WISPs)為滿足經常旅居在 外的使用者,提供他們寬頻的網際網路存取以使他們可以遠端地處理生意上的事情。

802.11x 的規格允許含有無線網卡的節點間使用直接且點 對點的連線,這種稱為 ad hoc 網路的自由節點分組適用於兩 個節點以上的快速連線共享,不過這其中也含有擴展性的問題,因此它並不適用於既定的 無線網路連線。

對於固定架構中無線存取的一個較適合的解決方案為安裝一個或以上的無線網路存取器 (WAPs)以連接到傳統的網路,並允許含有無線裝置的節點也可以連接到 WAP,就好像它 們是位於乙太網路媒體的網路中一樣。 實際上這個 WAP 扮演了連接到它的節點與其餘 網路間的一個橋接器。

A.1.3.1. 802.11x 的安全性

雖然無線網路連線在速度上是可以匹敵的,而且更可以確定的是它比傳統有線網路連線 的媒介更加的便利,不過仍然有一些規格上的限制值得我們仔細地考量。 這些限制中最 重要的在於它的安全性實作。

在成功地配置一個 802.11x 網路後,許多系統管理員都 忘了實作甚至最基本的保全預防措施。 因為所有的 802.11x 網路連線都是使用高頻率的 RF 訊號,因此擁有相容 NIC、無線網路掃描工具(如 NetStumblerWellenreiter) 以及一般的網路監聽工具(如 dsniff and snort) 的任何使用者都可以很容易地擷取傳輸中的資料。 為了防止如此不尋常地使用私有無線 網路,802.11b 的標準使用 Wired Equivalency Privacy (WEP) 協定,這是一種 RC4 為 基礎的 64 或 128 位元加密金鑰,在每一個節點間或 AP 與節點間共享。 這個金鑰將會 加密傳輸,然後動態且透通地解密外來的封包。 然而系統管理員經常沒有使用這個分享 金鑰的加密機制,可能是他們忘記了或由於效能的退化(特別是在長距離的情況下)而 選擇不如此做。 藉由在無線網路上啟用 WEP 可以大大地減少資料被擷取的可能性。

Red Hat Enterprise Linux 支援許多廠牌的 802.11x 產品,網路管理工具 中含有一個工具可以用來設定無線網路裝置與 WEP 安全性。 如需關於使用 網路管理工具 的更多資訊,請參考 Red Hat Enterprise Linux 系統管理手冊 一書中的 網路設定 章節。

然而完全仰賴 WEP,仍然不是一個保護惡意使用者恣意入侵的完善方法。 有一些特殊的 工具特別設計來破解用來保護無線網路的 RC4 WEP 加密機制,並且會暴露分享的金鑰, AirSnortWEP Crack 就是 如此的特殊應用程式。 為了對付這種應用程式,系統管理員應該要遵照以無線的方式存取 重要資料的嚴格政策。 系統管理員可以藉由限制只允許 SSH 或 VPN 連線以增加無線網路 連線的安全性,這將會產生在 WEP 加密之上的一個額外加密層。 藉由如此的政策,在網路 之外的惡意使用者破解了 WEP 加密機制後,還要再進一步破解 VPN 或 SSH 的加密機制, 這將會採用三倍長度的 168 位元 DES 演算法加密 (3DES),或者是功能更強大的專利權 演算法。 使用這些政策的系統管理員應該要限制使用純文字的通訊協定(如 Telnet 或 FTP), 因為藉由使用以上所提及的攻擊將會暴露出密碼與資料。

A.1.4. 網路區段與 DMZs

對於想要執行可由外部存取之服務(如 HTTP、電子郵件、FTP 與 DNS)的系統管理員, 建議將這些可被公眾存取的服務實體的或邏輯的從內部網路中分隔出來。 防火牆以及主機 與應用程式的強化對於制止平常的入侵者很有效,不過當恣意入侵的怪客所破壞的服務位於 與其餘網路相同的邏輯路徑時,他們可以找出進入內部網路的方法。 外部可存取的服務 應該位於保全工業所認定的一個非軍事區域 (DMZ),這是一個 邏輯的網路區段,來自網際網路的外來流量只能存取那些服務,而無法存取內部的網路。 即使一個惡意的使用者破壞位於 DMZ 的機器時,其餘的內部網路仍然位於一個分隔區段的 防火牆以內。

大部分的企業擁有相當有限的 IP 位址可供公眾存取(使用這些 IP 位址來控管外部的 服務),所以利用詳盡的防火牆規則來接受、轉送、丟棄與拒絕封包的傳輸。 使用 iptables 實作的防火牆政策或既定的硬體防火牆允許複雜的路由 選擇與轉送規則,系統管理員便可使用來區分存取特定服務的外來網路流量在指定的位址 與連接埠上,還可以只允許區網來存取內部的服務,這將可避免偽冒 IP 位址的破壞。 如需更多關於實作 iptables 的資訊,請參考 第7章