扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
公司内部有很多资源都是珍贵的,也涉及企业隐私。网络管理员不仅仅要维护网络的正常运行,还需要保证这些资源不被非法用户窃取。一般来说每个员工计算机都有足够强大的用户名密码来防范非法用户入侵,不过企业内部一些网络资源却是对外公开的,很多服务器都可开启了匿名登录服务。因此要保证资源的足够安全就需要网络管理员采取有效的方法来管理甚至是阻止外来人员进入公司网络。
一,管理原则:
既然我们要处理的是有效管理外来人员进入公司本地网络的问题,那么关键就是要把网络管理好,不让外来没有授权的人员适应计算机接入网络窃取信息。众所周知每台连接到网络的计算机都要有一个网络地址——IP地址,没有了IP地址计算机就无法连接网络。所以说我们只需要让没有授权的人员即使将自己的计算机插到网络接口也无法获得IP地址即可。
二,基本方法——禁用DHCP功能:
既然我们要禁止非法外来人员计算机连接到网络接口上获得IP地址,就应该在企业网络中禁止DHCP功能。
(1)服务器上禁用DHCP:
如果公司使用windows 2000或windows 2003建立DHCP服务器,那么我们可以通过停止服务或删除DHCP组件的方法来关闭DHCP功能。如果服务器使用的操作系统是linux同样可以禁止DHCP服务的运行。
(2)路由器上禁用DHCP:
除了服务器上存在DHCP服务外,很多路由器上也可以配置DHCP,我们可以登录路由器管理界面去查看,通过no或undo命令将该DHCP服务关闭。
(3)员工计算机上禁用DHCP:(如下图)
DHCP设置
现在网络中有很多DHCP服务建立小工具,所以你的网络可能有出现有人私自搭建DHCP服务器的现象,我们只需要经常通过计算机执行ipconfig /renew命令来查看即可,发现有个人DHCP服务后可以通过查看网关MAC地址来判断是哪台计算机启动了DHCP服务。
(4)假DHCP服务迷惑外来人员:
如果网络内部没有DHCP服务,那么员工建立DHCP服务就成为一件非常容易的事,上面提到的问题3也会频繁发生。实际上我们可以通过一个假的DHCP来解决外来人员进入公司网络的问题。一方面假的DHCP服务器分配一个假的IP地址信息,这样外来人员获得的地址也是假的无效的,依然无法连接到网络中;另一方面假的DHCP服务器随时工作在网络中,如果有其他人私自建立DHCP服务也会因为网络中已经存在了另一个DHCP服务器而建立失败。
三,中级方法——多种办法应对非法IP:
虽然上面我们通过禁用DHCP服务或建立一个假的DHCP服务可以阻止非法用户连接网络后自动获得IP地址。但是如果非法用户知道了公司的网络规划,对客户机网络地址比较了解的话,他就可以自由修改IP地址的设置,从而产生了IP地址非法使用的问题。不过改动后的IP地址在局域网中运行时可能出现的情况如下。
(1)非法的IP地址即IP地址不在规划的局域网范围内。
(2)重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网。
(3)冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害。
对于第一种情况非法IP也不能上网,所以我们不用理会。但是第二种和第三种情况则严重的影响了公司内部其他员工正常上网,并且公司内部数据也存在丢失的可能。我们这些网络管理员可以通过以下几个办法来对付非法用户自行修改IP地址。
(1)静态ARP表的绑定:(如下图)
对于静态修改IP地址的问题,可以采用静态路由技术加以解决,即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表,这是由ARP协议生成并维护的。配置路由器时,可以指定静态的ARP表,路由器会根据静态的ARP表检查数据包,如果不能对应,则不进行数据转发。 该方法可以阻止非法用户在不修改MAC地址的情况下,冒用IP地址进行跨网段的访问。
(2)交换机端口绑定:
借助交换机端口的MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口MAC地址绑定功能。使用交换机提供的端口地址过滤模式,即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络,任何来自其它MAC地址的主机的访问将被拒绝。
(3)VLAN划分:
严格来说,VLAN划分不属于技术手段,而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN,设置路由策略,可以有效阻止非法用户冒用其他网段的IP地址的企图。
(4)与应用层的身份认证相结合:(如下图)
身份认证
避免采用针对IP地址的直接授权的管理模式,综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制,构成多层次的严密的安全体系,或者启用一些诸如RADIUS AAA以及802.1x等具有认证的功能,这些都可以有效降低IP地址非法使用所带来的危害。
实际情况中上面出现问题都是因为非法用户自己修改自己的IP地址以及MAC地址造成的,那么我们有没有一种办法能够限定普通用户必须使用自动获得IP地址的方法来上网呢?如果可以限制的话,那么非法用户即使修改自己的IP地址与MAC地址为合法信息也无法正常上网。一般来说我们可以在路由交换设备上启用DHCP SNOOPING功能。不过这个功能并不是所有设备都有的,使用前请仔细查询说明书。
DHCP SNOOPING使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络。以下是一个简单的例子。
ip dhcp snooping vlan 180-181
// 对哪些VLAN 进行限制
ip dhcp snooping
ip arp inspection vlan 180-181
ip arp inspection validate src-mac dst-mac iperrdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
spanning-tree extend system-id
!
!interface GigabitEthernet2/1
// 对该端口接入的用户进行限制,可以下联交换机
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
五,总结:
外来人员非法进入公司网络的途径有很多很多种,网络管理员除有法律手段和技术手段,还拥有各种内部管理手段。如果单纯使用技术手段来外来人员进入公司网络,必然产生高昂的系统投资成本和人员开支。因此,只有综合运用管理手段和技术手段来处理此问题才能实现高可靠性的系统运行与低成本的管理维护的统一。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。