问:我在一家大型图书馆工作,我们有两个独立的网络:一个用于公共访问,另一个用作我们专用内部网络。大概一个星期以前,我发现有人在我们的公共网络上运行端口扫描(明显此操作是未授权的)。怎样才能防止公共用户在连接公共无线网的计算机或上网本上进行扫描呢?
答:考虑到公共无线网络的特点,主动去处理端口扫描很复杂。
我们可以尝试在网络层处理端口扫描,但是因为我们需要保护的系统和未授权的扫描系统在相同的虚拟局域网(VLAN)上,所以很难识别阻塞点(choke point)或切入点,以部署主动的基于网络的发现和防御功能,如基于网络的入侵防御系统(IPS)。
理想情况下,你可能希望在主机(host)层来处理。要说明的是,这里的主机指的是你要保护的系统。根据操作系统的类型,只有一些基于主机的产品可以拦截端口扫描。在Windows中,有反病毒厂商提供的一些成熟的产品,具有内置的防火墙和IPS。在Unix/Linux系统中,有一个很有趣的工具,扫描攻击检测软件(Port Scan Attack Detector,PSAD),它利用iptable日志,并追踪端口扫描。因为它与iptables整合,所以能够拦截发起扫描的源。
【编辑推荐】
