善用DHCP監(jiān)聽技術(shù)��,維護局域網(wǎng)安全
2024-09-12 21:52:12
供稿:網(wǎng)友
為了提高局域網(wǎng)的地址管理效率,相 信很多網(wǎng)絡(luò)管理員都會在單位內(nèi)部架設(shè)一臺DHCP服務(wù)器��,來為網(wǎng)絡(luò)中的客戶端系統(tǒng)自動分配上網(wǎng)參數(shù)��,在這種上網(wǎng)環(huán)境下��,DHCP服務(wù)器的工作安全性��,會直 接影響著整個局域網(wǎng)的運行安全性��。在實際管理網(wǎng)絡(luò)的過程中��,局域網(wǎng)可能經(jīng)常會遇到同時存在多臺DHCP服務(wù)器的現(xiàn)象��,這些現(xiàn)象一旦出現(xiàn)��,很可能引起資源方 面的沖突��,最終引發(fā)局域網(wǎng)不能安全��、穩(wěn)定地運行��。為了維護局域網(wǎng)的運行安全��,我們可以嘗試利用DHCP監(jiān)聽技術(shù)��,對DHCP服務(wù)器的工作安全性進行監(jiān)聽��, 以及早消除單位內(nèi)網(wǎng)中潛在的安全隱患��。
安全維護思路
對于DHCP服務(wù)器來說��,DHCP監(jiān)聽技術(shù)其實就是一種過濾DHCP報文的技術(shù)��。通過在局域網(wǎng)的核心交換機中啟用DHCP監(jiān)聽功能��,可以將來自局域網(wǎng)中重 要主機或網(wǎng)絡(luò)設(shè)備的不可信任DHCP報文過濾掉��,保證客戶端系統(tǒng)只能從經(jīng)過網(wǎng)絡(luò)管理員特別授權(quán)的可信任DHCP服務(wù)器那里獲得上網(wǎng)參數(shù)��,那樣一來可信任的 DHCP服務(wù)器就不會受到非信任DHCP服務(wù)器的“干擾”��,那么局域網(wǎng)的運行安全性��、穩(wěn)定性就能得到保證。比方說��,局域網(wǎng)中原先只有一臺可信任的DHCP 服務(wù)器��,當(dāng)用戶不小心將自帶有DHCP服務(wù)功能的打印服務(wù)器接入到網(wǎng)絡(luò)后��,那么打印服務(wù)器就會“搖身”變成一臺非信任的DHCP服務(wù)器��,這時局域網(wǎng)中就會 同時存在兩臺DHCP服務(wù)器��,那么普通的客戶端系統(tǒng)該從哪一臺DHCP服務(wù)器中獲得上網(wǎng)參數(shù)呢��?為了保證客戶端系統(tǒng)能夠獲得合法上網(wǎng)參數(shù)��,我們只要在交換 機上啟用了DHCP監(jiān)聽功能��,那么普通客戶端系統(tǒng)就會忽略打印服務(wù)器的存在��,而會自動向可信任的DHCP服務(wù)器去申請上網(wǎng)參數(shù)��。
DHCP監(jiān)聽功能在工作的時候��,交換機會只允許客戶端用戶發(fā)送DCHP請求��,同時會將類似提供響應(yīng)的其他DCHP報文自動丟棄掉��,這么一來普通客戶端系統(tǒng) 只能從合法的DHCP服務(wù)器那里獲得有效的上網(wǎng)參數(shù)��;雖然非法的DHCP服務(wù)器也能夠?qū)蛻舳讼到y(tǒng)的上網(wǎng)請求進行響應(yīng)��,但是交換機的DHCP監(jiān)聽功能會將 非法DHCP服務(wù)器的提供響應(yīng)報文自動丟棄掉,那么客戶端系統(tǒng)是無法接受到非法DHCP服務(wù)器的回復(fù)報文的��。此外��,通過DHCP監(jiān)聽功能,交換機會將局域 網(wǎng)中的DHCP報文��,自動識別為可信任的DHCP報文和不可信任的DHCP報文��,對于來自防火墻��、外網(wǎng)設(shè)備或者沒有經(jīng)過網(wǎng)絡(luò)管理員授權(quán)的DHCP服務(wù)器發(fā) 送過來的DHCP報文��,DHCP監(jiān)聽功能會自動將它識別為不可信任的DHCP報文��,同時對這樣的報文執(zhí)行丟棄處理��,那樣一來沒有授權(quán)的非信任DHCP服務(wù) 器就不會干擾局域網(wǎng)的安全運行��。
安全維護范圍
DHCP監(jiān)聽技術(shù)在保護局域網(wǎng)的DHCP服務(wù)器運行安全時��,主要是通過過濾數(shù)據(jù)報 文的方式��,來將DHCP服務(wù)器識別為信任端口或非信任端口的��,對于來自信任端口的數(shù)據(jù)信息��,交換機會允許其正常接受和發(fā)送,而對于來自非信任端口的數(shù)據(jù)信 息,交換機則不予響應(yīng)��。具體的來說��,DHCP監(jiān)聽技術(shù)的安全維護范圍主要表現(xiàn)在以下幾個方面:
1��、預(yù)防地址沖突
DHCP監(jiān)聽技 術(shù)可以防止非信任DHCP服務(wù)器通過地址沖突的方式��,干擾信任DHCP服務(wù)器的工作穩(wěn)定性��。在實際管理網(wǎng)絡(luò)的時候��,我們經(jīng)常會發(fā)現(xiàn)在相同的工作子網(wǎng)中��,可 能同時有多臺DHCP服務(wù)器存在��,這其中有的是網(wǎng)絡(luò)管理員專門架設(shè)的��,也有的是無意中接入到網(wǎng)絡(luò)中的��。比方說��,ADSL撥號設(shè)備可能就內(nèi)置有DHCP服務(wù) 功能��,一旦將該設(shè)備接入到局域網(wǎng)中后,那么該設(shè)備內(nèi)置的DHCP服務(wù)器就會自動為客戶端系統(tǒng)分配IP地址。這個時候��,經(jīng)過網(wǎng)絡(luò)管理員授權(quán)的合法DHCP服 務(wù)器��,就可能與ADSL撥號設(shè)備內(nèi)置的DHCP服務(wù)器發(fā)生地址上的沖突��,從而可能會對整個局域網(wǎng)的安全性帶來威脅��。這種威脅行為往往比較隱蔽��,一時半會很 難找到��。一旦使用了DHCP監(jiān)聽技術(shù)��,我們就可以在局域網(wǎng)的核心交換機后臺系統(tǒng)修改IP源綁定表中的參數(shù)��,并以此綁定表作為每個上網(wǎng)端口接受數(shù)據(jù)包的檢測 過濾標(biāo)準(zhǔn)��,來將沒有授權(quán)的DHCP服務(wù)器發(fā)送的數(shù)據(jù)報文自動過濾掉��,那樣一來就能有效預(yù)防非法DHCP服務(wù)器引起的地址沖突問題了��。
2��、預(yù)防Dos攻擊
大家知道��,一些非常陰險的攻擊者往往會單獨使用Dos攻擊��,襲擊局域網(wǎng)或網(wǎng)絡(luò)中的重要主機系統(tǒng)��;要是不幸遭遇Dos攻擊的話��,那么局域網(wǎng)的寶貴帶寬資源 或重要主機的系統(tǒng)資源��,就會被迅速消耗,輕則導(dǎo)致網(wǎng)絡(luò)傳輸速度緩慢或系統(tǒng)反應(yīng)遲鈍��,重則出現(xiàn)癱瘓現(xiàn)象��。而要是在核心交換機中使用了DHCP監(jiān)聽技術(shù)的話��, 那么局域網(wǎng)就可以有效抵御Dos攻擊了��,因為Dos攻擊主要是用大量的連接請求沖擊局域網(wǎng)或重要主機系統(tǒng)��,來消耗帶寬資源或系統(tǒng)資源的��,而DHCP監(jiān)聽技 術(shù)恰好具有報文限速功能��,利用這個功能我們可以合理配置許可的每秒數(shù)據(jù)包流量��,這樣就能實現(xiàn)抵御Dos攻擊的目的了��。
3��、及時發(fā)現(xiàn)隱患
大家知道��,在默認狀態(tài)下核心交換機會自動對第二層Vlan域中的DHCP數(shù)據(jù)報文進行攔截��,具體地說��,就是在選用中級代理信息選項的情況下��,交換機在將客 戶端的上網(wǎng)請求轉(zhuǎn)發(fā)給特定的DHCP服務(wù)器之前��,它會自動將端口號碼��、入站模塊��、MAC地址、Vlan號等信息插入到上網(wǎng)請求數(shù)據(jù)包中��。這個時候��,如果結(jié) 合接口跟蹤功能��,DHCP監(jiān)聽技術(shù)就能夠自動跟蹤DHCP服務(wù)器中地址池里的所有上網(wǎng)地址,而不會受到單位局域網(wǎng)中跨網(wǎng)段訪問的限制��,這么一來就能及時發(fā) 現(xiàn)局域網(wǎng)中的一些安全隱患��,對于跨網(wǎng)段的DHCP服務(wù)器運行安全也能起到一定程度的防護作用��。
4��、控制非法接入
由于任何一種形 式的數(shù)據(jù)報文��,都是通過交換端口完成發(fā)送與接收操作的��,顯然交換端口的工作狀態(tài)與DHCP監(jiān)聽的效果息息相關(guān)��。一般來說��,我們會將網(wǎng)絡(luò)管理員授權(quán)的合法 DHCP服務(wù)器所連的交換端口設(shè)置為DHCP監(jiān)聽信任端口��,或者是將分布層交換機之間的上行鏈路端口設(shè)置為DHCP監(jiān)聽信任端口��。對于信任端口來說��,交換 機會允許它正常發(fā)送或接收所有的DHCP數(shù)據(jù)報文��,這么一來交換機就會只允許合法的DHCP服務(wù)器對客戶端系統(tǒng)的上網(wǎng)請求進行響應(yīng)��,而非法的DHCP服務(wù) 器則不能向局域網(wǎng)發(fā)送或接收DHCP數(shù)據(jù)報文��。很明顯��,通過這種技術(shù)手段��,就能控制非法的DHCP服務(wù)器接入到單位局域網(wǎng)中了��。
安全維護配置
為了有效使用DHCP監(jiān)聽功能��,防護局域網(wǎng)的運行安全��,我們需要對該功能進行正確配置��,讓其按照實際安全運行需求進行工作��。由于DHCP監(jiān)聽功能主要是通 過建立端口信任關(guān)系實現(xiàn)數(shù)據(jù)過濾目的的��,為此我們需要重點配置究竟哪些交換端口是信任端口��,哪些交換端口是非信任端口。具體的說��,我們需要在交換機中進行 下面幾項安全維護配置操作:
1��、信任配置
這種配置主要就是在合法DHCP服務(wù)器所連交換端口上啟用信任,或者是在分布層或接入層交換機之間的互連端口上啟用信任��。如果不對上述重要端口建立信任配 置��,那么普通客戶端系統(tǒng)將無法正常從合法DHCP服務(wù)器那里接受到有效的上網(wǎng)參數(shù)��。當(dāng)然��,為了防止普通員工私下搭建DHCP服務(wù)器��,威脅合法DHCP服務(wù) 器的運行安全��,我們有必要將普通客戶端系統(tǒng)所連的交換端口設(shè)置為非信任的端口��,那樣一來交換機會將來自客戶端系統(tǒng)的提供響應(yīng)報文自動丟棄掉��,此時局域網(wǎng)中 的其他客戶端系統(tǒng)不知道有這臺非法DHCP服務(wù)器的存在。
2��、限速配置
為了防止Dos攻擊��,我們需要將DHCP監(jiān)聽功能自帶的 報文限速特性啟用起來��,通過這個特性避免連續(xù)��、大流量的數(shù)據(jù)攻擊,保證局域網(wǎng)的寶貴帶寬資源不會被迅速消耗��,從而維護局域網(wǎng)的運行安全性��。很多時候��,網(wǎng)絡(luò) 管理員都會在局域網(wǎng)中部署這樣或那樣的Dos防護工具��,不過從實踐安全防護效果來看��,我們建議大家還是啟用DHCP監(jiān)聽技術(shù)的請求限速功能��。在啟用這項功 能時��,我們只要簡單地執(zhí)行“IP Dhcp Snooping Limit Rate x”命令就可以了��,其中“x”為具體的限速標(biāo)準(zhǔn)��,該數(shù)值需要網(wǎng)絡(luò)管理員依照單位局域網(wǎng)的實際運行情況來有針對性的配置��。
3��、代理配置
在局域網(wǎng)中存在多個Vlan的情況下��,我們必須在交換機中啟用中級代理信息選項��,也就是啟用82選項��,才能保證DHCP監(jiān)聽功能提供跨網(wǎng)段安全防護服務(wù)��。 在DHCP監(jiān)聽中啟用中級代理信息選項時��,只要執(zhí)行“ip dhcp snooping information option”命令就可以了��。
