公司内部有良多资本都是珍贵的,也涉及企业隐私。收集打点员不仅仅要维护收集的正常运行,还需要保证这些资本不被犯警用户窃取。一般来说每个员工计较机都有足够强年夜的用户名密码来提防犯警用户入侵,不外企业内部一些收集资本却是对外公开的,良多处事器都可开启了匿名登录处事。是以要保证资本的足够平安就需要收集打点员采纳有用的体例来打点甚至是阻止外来人员进入公司收集。7 Y0 h' M3 k+ Y1 \7 L7 r* Q7 ?0 z
一,打点原则:2 s( l2 q f7 k# z
既然我们要措置的是有用打点外来人员进入公司当地收集的问题,那么关头就是要把收集打点好,不让外来没有授权的人员顺应计较机接入收集窃守信息。众所周知每台毗连到收集的计较机都要有一个收集地址——IP地址,没有了IP地址计较机就无法毗连收集。所以说我们只需要让没有授权的人员即使将自己的计较机插到收集接口也无法获得IP地址即可。: \% {# c* W3 K
二,根基体例——禁用DHCP功能:: d% {) r/ t) @7 \, m
既然我们要禁止犯警外来人员计较机毗连到收集接口上获得IP地址,就应该在企业收集中禁止DHCP功能。
/ g: T8 f) W3 m a% h$ ` (1)处事器上禁用DHCP:
! N0 P: y1 [4 Y% t U6 I) c+ C0 c1 g 如不美观公司使用windows 2000或windows 2003成立DHCP处事器,那么我们可以经由过程遏制处事或删除DHCP组件的体例来封锁DHCP功能。如不美观处事器使用的操作系统是linux同样可以禁止DHCP处事的运行。- g% s) U8 n) w: @7 J
(2)路由器上禁用DHCP:
6 }! S, m8 r k) i3 q' \ 除了处事器上存在DHCP处事外,良多路由器上也可以设置装备摆设DHCP,我们可以登录路由器打点界面去查看,经由过程no或undo呼吁将该DHCP处事封锁。( I1 f: R% {3 [' a7 [# K
(3)员工计较机上禁用DHCP:
6 n# ? ~1 b) u' m1 ` i/ | m 此刻收集中有良多DHCP处事成立小工具,所以你的收集可能有呈现有人私行搭建DHCP处事器的现象,我们只需要经常经由过程计较机执行ipconfig /renew呼吁来查看即可,发现有小我DHCP处事后可以经由过程查看网关MAC地址来判定是哪台计较机启动了DHCP处事。% p( N9 b/ u+ g+ x
(4)假DHCP处事迷惑外来人员:7 g) P4 u1 C! `$ {( O+ [
如不美观收集内部没有DHCP处事,那么员工成立DHCP处事就成为一件很是轻易的事,膳缦沔提到的问题3也会频仍发生。现实上我们可以经由过程一个假的DHCP来解决外来人员进入公司收集的问题。一方面假的DHCP处事器分配一个假的IP地址信息,这样外来人员获得的地址也是假的无效的,依然无法毗连到收集中;另一方面假的DHCP处事器随时工作在收集中,如不美观有其他人私行成立DHCP处事也会因为收集中已经存在了另一个DHCP处事器而成立失踪败。
: C9 W8 }2 K% r. m, [ 三,中级体例——多种法子应对犯警IP:# [ d9 r+ {- Z) O: z
虽然膳缦沔我们经由过程禁用DHCP处事或成立一个假的DHCP处事可以阻止犯警用户毗连收集后自动获得IP地址。可是如不美观犯警用户知道了公司的收集规划,对客户机收集地址斗劲体味的话,他就可以自由改削IP地址的设置,年夜而发生了IP地址犯警使用的问题。不外改动后的IP地址在局域网中运行时可能呈现的情形如下。
( L5 [* p, g0 K# B Q4 T- h (1)犯警的IP地址即IP地址不在规划的局域网规模内。
: D( X/ x6 S% m (2)一再的IP地址与已经分配且正在局域网运行的正当的IP地址发生资本冲突,使正当用户无法上网。
3 I9 S/ y' H0 w6 F0 } (3)冒用正当用户的IP地址当正当用户不在线时,冒用其IP地址联网,使正当用户的权益受到损害。
# u: i t. r, Q- j# u, }! c 提醒: 对于第一种情形犯警IP也不能上网,所以我们不用理会。可是第二种和第三种情形则严重的影响了公司内部其他员工正常上网,而且公司内部数据也存在丢失踪的可能。我们这些收集打点员可以经由过程以下几个法子来对于犯警用户自行改削IP地址。
. z5 f7 ]1 G2 w7 B7 S y7 d (1)静态ARP表的绑定:; ] z! \- X- i1 d
对于静态改削IP地址的问题,可以采用静态路由手艺加以解决,即IP-MAC地址绑定。因为在一个网段内的收集寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。是以作为网关的路由器上有IP-MAC的动态对应表,这是由ARP和谈生成并维护的。设置装备摆设路由器时,可以指定静态的ARP表,路由器会按照静态的ARP表搜检数据包,如不美观不能对应,则一直行数据转发。 该体例可以阻止犯警用户在不改削MAC地址的情形下,冒用IP地址进行跨网段的访谒。
4 V, u% E. Z5 }, U3 P; R (2)交流机端口绑定:! v1 t; t0 q8 w
借助交流机端口的MAC地址绑定功能可以解决犯警用户改削MAC地址以顺应静态ARP表的问题。可打点的交流机中都有端口MAC地址绑定功能。使用交流机供给的端口地址过滤模式,即交流机的每一个端口只具有许可正当MAC地址的主机经由过程该端口访谒收集,任何来自其它MAC地址的主机的访谒将被拒绝。2 O S9 F5 T( C/ u5 v
(3)VLAN划分:- X* F; r9 c1 c, G- W' ^' E ?
严酷来说,VLAN划分不属于手艺手段,而是打点与手艺连系的手段。将具有四周权限的IP地址划分到统一个VLAN,设置路由策略,可以有用阻止犯警用户冒用其他网段的IP地址的狡计。; V L5 N2 ~8 I. h" N
(4)与应用层的身份认证相连系:
' F! B6 w, p+ P- @ 避免采用针对IP地址的直接授权的打点模式,综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制,组成多条理的雅缦丬的平安系统,或者启用一些诸如RADIUS AAA以及802.1x等具有认证的功能,这些都可以有用降低IP地址犯警使用所带来的风险。
8 c. {, B# ?1 L# y0 i+ \" [ 四,高级体例——DHCP SNOOPING:
6 T& Y$ X& c( i1 _0 s 站提醒:现实情形中膳缦沔呈现问题都是因为犯警用户自己改削自己的IP地址以及MAC地址造成的,那么我们有没有一种法子能够限制通俗用户必需使用自动获得IP地址的体例来上网呢?如不美观可以限制的话,那么犯警用户即使改削自己的IP地址与MAC地址为正当信息也无法正常上网。一般来说我们可以在路由交流设备上启用DHCP SNOOPING功能。不外这个功能并不是所有设备都有的,使用前请细心发芽仿单。6 D5 t# `0 Z D2 z; E
DHCP SNOOPING使用的体例是采用DHCP体例为用户分配IP,然后限制章些用户只能使用动态IP的体例,如不美观改成静态IP的体例则不能毗连上收集。
0 [9 K6 L, o7 {9 ]5 @ 五,总结:
5 I) X4 e- y6 _& R5 M 外来人员犯警进入公司收集的路子有良多良多种,收集打点员除有法令手段和手艺手段,还拥有各类内部打到手段,同时还有一些手艺手段,如部署一套网管系统,好比国内较为知名的网管软件:聚生网管,具有一项“自动发现新插手主机,并自动实施某个策略的功能”,这样你可以成立一个禁止上网(或者强制断网)的功能,这样软件只要一扫描到电脑,就自动将禁止上网或者强制断网的功能应用到这个主机上,这样他就自动不能上网了,与其他手段对比,这样的节制体例是自动的,年夜年夜减轻网管人员的工作,更为便利。是以,只有综合运用打到手段和手艺手段来措置此问题才能实现高靠得住性的系统运行与低成本的打点维护的统一。 |
发表于 2012-8-3 20:03:30
