你是谁?LSN让网络身份识别难上加难

从有网络以来,我们就是通过IP地址来识别用户或计算机的,但集中化公共IPv4地址后,每个地址就不能再代表一台机器,一个家庭或一个小型分支机构了,现在一个地址可能会代表数千台计算机,数千个家庭和分支机构,因此要通过IP地址进行身份识别就变得不现实或很困难了。

长久以来,人们总是认为位于NAT后面的网络很安全,在我看来,这是错误的,除了共享有限的互联网带宽外,给网络管理也带来了前所未有的挑战。

本是恶作剧,但可能造成意想不到的后果

我喜欢参加互联网上的一些政治讨论组,可以学习到不少东西,还可以享受辩论的乐趣,如果你曾经参加过互联网讨论组,特别是讨论有争议的问题,你一定知道有人会故意给讨论会添乱,他们喜欢发表煽动性言论,旨在破坏参与者的思路,这种人喜欢在允许发表公开意见的网站发表所谓的“高论”,主要是吸引对政治和宗教感兴趣的人参与讨论。

有时这些人因言论过激会被禁言,甚至删除账号,但他们只要用新的Hotmail或Yahoo邮件地址就可以注册新的用户,并继续搞破坏。为了防止这种“惯犯”行为,有些网站会通过禁用IP地址封杀言行不端的用户,这样相当于是禁用了用户的计算机,如果该IP地址恰好地一个家庭或小型分支机构的NAT外部接口,该网络中的其他用户就无辜被禁,这就是NAT的缺点,为了限制某一个用户,或许会让数以千计的用户被牵连。

如果在LSN网络中有人不怀好意,他可以故意违反某个网站的规定,于是网站管理员会通过封IP实施惩罚,但殊不知这一行为会导致该LSN中的大量用户同样受到影响,从安全的角度讲,这算是一次小规模的拒绝服务攻击,也许网站管理员根本毫不知情。

黑名单和白名单,必须在NAT两端实施

不仅网站需要基于IP地址的黑名单用户列表,本地服务商也需要黑名单,当然也需要白名单绿色通道),黑名单和白名单常用于对付垃圾邮件和病毒控制,但黑名单还可以用于强制实施使用策略。

在LSN架构中,黑名单和白名单可能需要分开,应用于入站通信的策略必须在LSN的外部接口上得到落实,当数据包转换后,如果没有LSN的映射表,就很难通过IPv4地址进行身份识别了,同样,应用于出站通信的策略必须在LSN面向用户的一侧得到落实。


共3页: 上一页123下一页

相关内容