杜絕IP地址非法使用保護(hù)局域網(wǎng)安全
IP地址的管理問題是網(wǎng)絡(luò)管理人員最頭痛的問題之一。文章從具體實(shí)踐出發(fā),深入分析了IP地址管理的特點(diǎn),提出了一套完整的IP地址管理方法。該方法綜合運(yùn)用了管理措施和技術(shù)措施,杜絕了IP地址的非法使用,大大減輕了網(wǎng)絡(luò)管理人員的負(fù)擔(dān)。
在大多數(shù)局域網(wǎng)的運(yùn)行管理工作中,網(wǎng)絡(luò)管理員負(fù)責(zé)管理用戶IP地址的分配,用戶通過正確地注冊后才被認(rèn)為是合法用戶。在局域網(wǎng)上任何用戶使用未經(jīng)授權(quán)的IP地址都應(yīng)視為IP非法使用。但在Windows操作系統(tǒng)中,終端用戶可以自由修改IP地址的設(shè)置,從而產(chǎn)生了IP地址非法使用的問題。改動(dòng)后的IP地址在局域網(wǎng)中運(yùn)行時(shí)可能出現(xiàn)的情況如下。
a. 非法的IP地址即IP地址不在規(guī)劃的局域網(wǎng)范圍內(nèi)。
b.重復(fù)的IP地址與已經(jīng)分配且正在局域網(wǎng)運(yùn)行的合法的IP地址發(fā)生資源沖突,使合法用戶無法上網(wǎng)。
c.冒用合法用戶的IP地址當(dāng)合法用戶不在線時(shí),冒用其IP地址聯(lián)網(wǎng),使合法用戶的權(quán)益受到侵害。
1 IP地址非法使用的動(dòng)機(jī)
IP地址的非法使用問題,不是普通的技術(shù)問題,而是一個(gè)管理問題。只有找到其存在的理由,根除其存在的基礎(chǔ),才可能從根本上杜絕其發(fā)生。分析非法使用者的動(dòng)機(jī)有以下幾種情況:
a. 干擾、破壞網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備的正常運(yùn)行。
b. 企圖擁有被非法使用的IP地址所擁有的特權(quán)。最典型的,就是因特網(wǎng)訪問權(quán)限。
c. 因機(jī)器重新安裝、臨時(shí)部署等原因,無意中造成的非法使用。
2 非法使用方法
2.1 靜態(tài)修改IP地址配置 用戶在配置TCP/IP選項(xiàng)時(shí),使用的不是管理員分配的IP地址,就形成了IP地址的非法使用。
2.2 同時(shí)修改MAC地址和IP地址
非法用戶還有可能將一臺(tái)計(jì)算機(jī)的IP地址和MAC地址都改為另一臺(tái)合法主機(jī)的IP地址和MAC地址。他們可以使用允許自定義MAC地址的網(wǎng)卡或使用軟件修改MAC地址。
2.3 IP電子欺騙
IP電子欺騙是偽造某臺(tái)主機(jī)IP地址的技術(shù)。它通常需要編程來實(shí)現(xiàn)。通過使用SOCKET編程,發(fā)送帶有假冒的源IP地址的IP數(shù)據(jù)包
3 管理員的技術(shù)手段
3.1 靜態(tài)ARP表的綁定
對(duì)于靜態(tài)修改IP地址的問題,可以采用靜態(tài)路由技術(shù)加以解決,即IP-MAC地址綁定。因?yàn)樵谝粋€(gè)網(wǎng)段內(nèi)的網(wǎng)絡(luò)尋址不是依靠IP地址而是物理地址。IP地址只是在網(wǎng)際之間尋址使用的。因此作為網(wǎng)關(guān)的路由器上有IP-MAC的動(dòng)態(tài)對(duì)應(yīng)表,這是由ARP協(xié)議生成并維護(hù)的。配置路由器時(shí),可以指定靜態(tài)的ARP表,路由器會(huì)根據(jù)靜態(tài)的ARP表檢查數(shù)據(jù)包,如果不能對(duì)應(yīng),則不進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。
該方法可以阻止非法用戶在不修改MAC地址的情況下,冒用IP地址進(jìn)行跨網(wǎng)段的訪問。
3.2 交換機(jī)端口綁定
借助交換機(jī)的端口—MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài)ARP表的問題。可管理的交換機(jī)中都有端口—MAC地址綁定功能。使用交換機(jī)提供的端口地址過濾模式,即交換機(jī)的每一個(gè)端口只具有允許合法MAC地址的主機(jī)通過該端口訪問網(wǎng)絡(luò) ,任何來自其它MAC地址的主機(jī)的訪問將被拒絕。
3.3 VLAN劃分
嚴(yán)格來說,VLAN劃分不屬于技術(shù)手段,而是管理與技術(shù)結(jié)合的手段。將具有相近權(quán)限的IP地址劃分到同一個(gè)VLAN,設(shè)置路由策略,可以有效阻止非法用戶冒用其他網(wǎng)段的IP地址的企圖。
3.4 與應(yīng)用層的身份認(rèn)證相結(jié)合
避免采用針對(duì)IP地址的直接授權(quán)的管理模式,綜合運(yùn)用用戶名、口令、加密、及其他應(yīng)用層的身份認(rèn)證機(jī)制,構(gòu)成多層次的嚴(yán)密的安全體系,可以有效降低IP地址非法使用所帶來的危害。
4 管理建議
a.普通用戶明白非法使用IP地址所產(chǎn)生的危害和處罰措施,制定并實(shí)施嚴(yán)格的IP地址管理制度,包括:IP地址申請和發(fā)放流程,IP地址變更流程,臨時(shí)IP地址分配流程,機(jī)器MAC地址登記管理,IP地址非法使用的處罰制度。
b.非法使用IP的行為,總是內(nèi)部網(wǎng)絡(luò)少數(shù)人的行為。因此,對(duì)于已經(jīng)建成的網(wǎng)絡(luò),管理員要根據(jù)當(dāng)前存在的問題,有針對(duì)性的運(yùn)用技術(shù)措施,重點(diǎn)阻止個(gè)別用戶的非法行為。
c. 劃分VLAN時(shí),兼顧可管理性和易用性。在不增加網(wǎng)絡(luò)復(fù)雜性的前提下,充分運(yùn)用VLAN的劃分手段,將權(quán)限相近的用戶劃分到同一個(gè)VLAN內(nèi),弱化非法使用同網(wǎng)段IP地址所帶來的利益。
d. 部署網(wǎng)絡(luò)管理系統(tǒng)。網(wǎng)絡(luò)管理軟件可以實(shí)現(xiàn)靜態(tài)ARP表綁定的初始化操作,避免網(wǎng)絡(luò)管理員的大量重復(fù)性勞動(dòng)。網(wǎng)絡(luò)管理軟件的日常監(jiān)視和日志功能,可以及時(shí)有效的發(fā)現(xiàn)網(wǎng)絡(luò)中的IP地址變化、MAC地址變化、交換機(jī)端口改變等異常行為,幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)故 障的根源。同時(shí),網(wǎng)絡(luò)管理員還可以借助網(wǎng)管系統(tǒng),很方便的管理網(wǎng)絡(luò)交換機(jī),針對(duì)個(gè)別問題突出的用戶,進(jìn)行交換機(jī)端口綁定操作,禁止其修改MAC地址。
e. 與應(yīng)用層的身份認(rèn)證相結(jié)合,建立完整嚴(yán)密的多層次的安全認(rèn)證體系,弱化IP地址在身份認(rèn)證體系中的重要性。與IP地址非法使用的問題類似,用戶名和口令也屬于容易盜用的資源,建議有條件的單位采用指紋鼠標(biāo)等先進(jìn)的身份認(rèn)證系統(tǒng),強(qiáng)化重要系統(tǒng)的安全強(qiáng)度。
結(jié)束語
內(nèi)部人員非法使用IP地址,并不是為了進(jìn)行侵入和破壞,而是為了謀取某些特定的權(quán)限和利益。網(wǎng)絡(luò)管理員除有法律手段和技術(shù)手段,還擁有各種內(nèi)部管理手段。如果單純使用技術(shù)手段來防范IP地址的非法使用,必然產(chǎn)生高昂的系統(tǒng)投資成本和人員開支。因此,只有綜 合運(yùn)用管理手段和技術(shù)手段,來處理IP地址非法使用問題,才能實(shí)現(xiàn)高可靠性的系統(tǒng)運(yùn)行與低成本的管理維護(hù)的統(tǒng)一。
以上就是學(xué)習(xí)啦網(wǎng)帶給大家不一樣的精彩。想要了解更多精彩的朋友可以持續(xù)關(guān)注學(xué)習(xí)啦網(wǎng),我們將會(huì)為你奉上最全最新鮮的內(nèi)容哦! 學(xué)習(xí)啦,因你而精彩。希望會(huì)對(duì)你有所幫助,想了解更多信息,就請繼續(xù)關(guān)注我們的學(xué)習(xí)啦。