公司內(nèi)部有很多資源都是珍貴的,也涉及企業(yè)隱私。網(wǎng)絡(luò)管理員不僅僅要維護(hù)網(wǎng)絡(luò)的正常運(yùn)行,還需要保證這些資源不被非法用戶竊取。一般來說每個(gè)員工計(jì)算機(jī)都有足夠強(qiáng)大的用戶名密碼來防范非法用戶入侵,不過企業(yè)內(nèi)部一些網(wǎng)絡(luò)資源卻是對(duì)外公開的,很多服務(wù)器都可開啟了匿名登錄服務(wù)。因此要保證資源的足夠安全就需要網(wǎng)絡(luò)管理員采取有效的方法來管理甚至是阻止外來人員進(jìn)入公司網(wǎng)絡(luò)。
一,管理原則:
既然我們要處理的是有效管理外來人員進(jìn)入公司本地網(wǎng)絡(luò)的問題,那么關(guān)鍵就是要把網(wǎng)絡(luò)管理好,不讓外來沒有授權(quán)的人員適應(yīng)計(jì)算機(jī)接入網(wǎng)絡(luò)竊取信息。眾所周知每臺(tái)連接到網(wǎng)絡(luò)的計(jì)算機(jī)都要有一個(gè)網(wǎng)絡(luò)地址——IP地址,沒有了IP地址計(jì)算機(jī)就無法連接網(wǎng)絡(luò)。所以說我們只需要讓沒有授權(quán)的人員即使將自己的計(jì)算機(jī)插到網(wǎng)絡(luò)接口也無法獲得IP地址即可。
二,基本方法——禁用DHCP功能:
既然我們要禁止非法外來人員計(jì)算機(jī)連接到網(wǎng)絡(luò)接口上獲得IP地址,就應(yīng)該在企業(yè)網(wǎng)絡(luò)中禁止DHCP功能。
(1)服務(wù)器上禁用DHCP:
如果公司使用windows 2000或windows 2003建立DHCP服務(wù)器,那么我們可以通過停止服務(wù)或刪除DHCP組件的方法來關(guān)閉DHCP功能。如果服務(wù)器使用的操作系統(tǒng)是linux同樣可以禁止DHCP服務(wù)的運(yùn)行。
(2)路由器上禁用DHCP:
除了服務(wù)器上存在DHCP服務(wù)外,很多路由器上也可以配置DHCP,我們可以登錄路由器管理界面去查看,通過no或undo命令將該DHCP服務(wù)關(guān)閉。
(3)員工計(jì)算機(jī)上禁用DHCP:
現(xiàn)在網(wǎng)絡(luò)中有很多DHCP服務(wù)建立小工具,所以你的網(wǎng)絡(luò)可能有出現(xiàn)有人私自搭建DHCP服務(wù)器的現(xiàn)象,我們只需要經(jīng)常通過計(jì)算機(jī)執(zhí)行ipconfig /renew命令來查看即可,發(fā)現(xiàn)有個(gè)人DHCP服務(wù)后可以通過查看網(wǎng)關(guān)MAC地址來判斷是哪臺(tái)計(jì)算機(jī)啟動(dòng)了DHCP服務(wù)。
(4)假DHCP服務(wù)迷惑外來人員:
如果網(wǎng)絡(luò)內(nèi)部沒有DHCP服務(wù),那么員工建立DHCP服務(wù)就成為一件非常容易的事,上面提到的問題3也會(huì)頻繁發(fā)生。實(shí)際上我們可以通過一個(gè)假的DHCP來解決外來人員進(jìn)入公司網(wǎng)絡(luò)的問題。一方面假的DHCP服務(wù)器分配一個(gè)假的IP地址信息,這樣外來人員獲得的地址也是假的無效的,依然無法連接到網(wǎng)絡(luò)中;另一方面假的DHCP服務(wù)器隨時(shí)工作在網(wǎng)絡(luò)中,如果有其他人私自建立DHCP服務(wù)也會(huì)因?yàn)榫W(wǎng)絡(luò)中已經(jīng)存在了另一個(gè)DHCP服務(wù)器而建立失敗。
三,中級(jí)方法——多種辦法應(yīng)對(duì)非法IP:
雖然上面我們通過禁用DHCP服務(wù)或建立一個(gè)假的DHCP服務(wù)可以阻止非法用戶連接網(wǎng)絡(luò)后自動(dòng)獲得IP地址。但是如果非法用戶知道了公司的網(wǎng)絡(luò)規(guī)劃,對(duì)客戶機(jī)網(wǎng)絡(luò)地址比較了解的話,他就可以自由修改IP地址的設(shè)置,從而產(chǎn)生了IP地址非法使用的問題。不過改動(dòng)后的IP地址在局域網(wǎng)中運(yùn)行時(shí)可能出現(xiàn)的情況如下。?
(1)非法的IP地址即IP地址不在規(guī)劃的局域網(wǎng)范圍內(nèi)。
(2)重復(fù)的IP地址與已經(jīng)分配且正在局域網(wǎng)運(yùn)行的合法的IP地址發(fā)生資源沖突,使合法用戶無法上網(wǎng)。
(3)冒用合法用戶的IP地址當(dāng)合法用戶不在線時(shí),冒用其IP地址聯(lián)網(wǎng),使合法用戶的權(quán)益受到侵害。
對(duì)于第一種情況非法IP也不能上網(wǎng),所以我們不用理會(huì)。但是第二種和第三種情況則嚴(yán)重的影響了公司內(nèi)部其他員工正常上網(wǎng),并且公司內(nèi)部數(shù)據(jù)也存在丟失的可能。我們這些網(wǎng)絡(luò)管理員可以通過以下幾個(gè)辦法來對(duì)付非法用戶自行修改IP地址。
(1)靜態(tài)ARP表的綁定:
對(duì)于靜態(tài)修改IP地址的問題,可以采用靜態(tài)路由技術(shù)加以解決,即IP-MAC地址綁定。因?yàn)樵谝粋€(gè)網(wǎng)段內(nèi)的網(wǎng)絡(luò)尋址不是依靠IP地址而是物理地址。IP地址只是在網(wǎng)際之間尋址使用的。因此作為網(wǎng)關(guān)的路由器上有IP-MAC的動(dòng)態(tài)對(duì)應(yīng)表,這是由ARP協(xié)議生成并維護(hù)的。配置路由器時(shí),可以指定靜態(tài)的ARP表,路由器會(huì)根據(jù)靜態(tài)的ARP表檢查數(shù)據(jù)包,如果不能對(duì)應(yīng),則不進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。 該方法可以阻止非法用戶在不修改MAC地址的情況下,冒用IP地址進(jìn)行跨網(wǎng)段的訪問。
(2)交換機(jī)端口綁定:
借助交換機(jī)端口的MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài)ARP表的問題。可管理的交換機(jī)中都有端口MAC地址綁定功能。使用交換機(jī)提供的端口地址過濾模式,即交換機(jī)的每一個(gè)端口只具有允許合法MAC地址的主機(jī)通過該端口訪問網(wǎng)絡(luò),任何來自其它MAC地址的主機(jī)的訪問將被拒絕。
(3)VLAN劃分:
嚴(yán)格來說,VLAN劃分不屬于技術(shù)手段,而是管理與技術(shù)結(jié)合的手段。將具有相近權(quán)限的IP地址劃分到同一個(gè)VLAN,設(shè)置路由策略,可以有效阻止非法用戶冒用其他網(wǎng)段的IP地址的企圖。
(4)與應(yīng)用層的身份認(rèn)證相結(jié)合:
避免采用針對(duì)IP地址的直接授權(quán)的管理模式,綜合運(yùn)用用戶名、口令、加密、VPN及其他應(yīng)用層的身份認(rèn)證機(jī)制,構(gòu)成多層次的嚴(yán)密的安全體系,或者啟用一些諸如RADIUS AAA以及802.1x等具有認(rèn)證的功能,這些都可以有效降低IP地址非法使用所帶來的危害。
四,高級(jí)方法——DHCP SNOOPING:
實(shí)際情況中上面出現(xiàn)問題都是因?yàn)榉欠ㄓ脩糇约盒薷淖约旱腎P地址以及MAC地址造成的,那么我們有沒有一種辦法能夠限定普通用戶必須使用自動(dòng)獲得IP地址的方法來上網(wǎng)呢?如果可以限制的話,那么非法用戶即使修改自己的IP地址與MAC地址為合法信息也無法正常上網(wǎng)。一般來說我們可以在路由交換設(shè)備上啟用DHCP SNOOPING功能。不過這個(gè)功能并不是所有設(shè)備都有的,使用前請(qǐng)仔細(xì)查詢說明書。
DHCP SNOOPING使用的方法是采用DHCP方式為用戶分配IP,然后限定這些用戶只能使用動(dòng)態(tài)IP的方式,如果改成靜態(tài)IP的方式則不能連接上網(wǎng)絡(luò)。
五,總結(jié):
外來人員非法進(jìn)入公司網(wǎng)絡(luò)的途徑有很多很多種,網(wǎng)絡(luò)管理員除有法律手段和技術(shù)手段,還擁有各種內(nèi)部管理手段,同時(shí)還有一些技術(shù)手段,如部署一套網(wǎng)管系統(tǒng),比如國內(nèi)較為知名的網(wǎng)管軟件:聚生網(wǎng)管,具有一項(xiàng)“自動(dòng)發(fā)現(xiàn)新加入主機(jī),并自動(dòng)實(shí)施某個(gè)策略的功能”,這樣你可以建立一個(gè)禁止上網(wǎng)(或者強(qiáng)制斷網(wǎng))的功能,這樣軟件只要一掃描到電腦,就自動(dòng)將禁止上網(wǎng)或者強(qiáng)制斷網(wǎng)的功能應(yīng)用到這個(gè)主機(jī)上,這樣他就自動(dòng)不能上網(wǎng)了,與其他手段相比,這樣的控制方法是自動(dòng)的,大大減輕網(wǎng)管人員的工作,更為方便。因此,只有綜合運(yùn)用管理手段和技術(shù)手段來處理此問題才能實(shí)現(xiàn)高可靠性的系統(tǒng)運(yùn)行與低成本的管理維護(hù)的統(tǒng)一。
