《{安全生产管理}局域网中地址盗用的安全问题》由会员分享,可在线阅读,更多相关《{安全生产管理}局域网中地址盗用的安全问题(6页珍藏版)》请在金锄头文库上搜索。
1、2009年全国技工教育和职业培训优秀教研成果评选活动参评论文局域网中IP地址盗用的安全问题摘要:对于在Internet和Intranet网络上,使用TCP/IP协议时每台主机必须具有独立的IP地址,有了IP地址的主机才能与网络上的其他主机进行通信。随着网络应用大力推广,网络用户急剧膨胀,使用动态IP地址分配需要设置额外DHCP服务器,使用静态IP地址分配,IP地址冲突的麻烦相继而来。IP地址冲突造成了很坏的影响,首先,网络客户不能正常工作,只要网络上存在冲突的机器,只要电源打开,在客户机上都会频繁出现地址冲突的提示。对网络应用系统的安全造成了严重威胁。关键词:校园网局域网IP地址冲突前言: 在
2、校园局域网络管理的实际工作中,由于用户因某种原因有改动客户端的IP地址和更换网络适配器的可能性。这种改动有时具有随意性,尤其当这种改动不在网络管理员的监控之内时,将直接影响网络IP地址的管理、通信流量的计算等网络资源环境的安全运行。为了能高效率地管理好、利用好局网络,不断地向同行们学习与探讨,从中总结出了一些高效率的局域网IP地址冲突解决方法,希望能够与大家进行交流,更希望能够得到同行们不惜的指教,从而提高我们的网络管理水平,使校园网更好的为学校教育教学服务,促进信息技术教育的发展。论文内容:我校于2001年开始组建了校园局域网,经过多年的投入和建设,现已经建立了千兆主干、百兆到桌面的数字化校
3、园网络系统,校园网络用中国电信6M光纤专线接入Internet。目前,我校校园网络共有服务器三台(主域服务器、WEB服务器、校园网络办公服务器)以及网络客户机300多台。随着网络应用及办公自动化的需要,网络客户急剧膨胀,而使用动态IP地址分配需要设置额外DHCP服务器,使用静态IP地址分配,IP地址冲突的麻烦相继而来。只要网络上存在冲突的机器,网络客户就不能正常工作,频繁出现地址冲突的提示。如果网络上某项应用的安全策略(诸如访问权限,存取控制等)是基于IP地址进行的,这种非法的IP用户会对应用系统的安全造成了严重威胁。在校园网应用中,大部份用户对TCP/IP并不了解,不知道“IP地址”、“子网
4、掩码”、“默认网关”等参数有什么用,该如何设置,有时用户不是从管理员处得到的上述参数的信息,或者是用户无意修改了这些信息或是有人窃用他人的IP地址。这种改动有时具有随意性,只有在相互冲突的网络客户同时都在开机状态时才能显露出问题,所以具有相当的隐蔽性,查找工作也比较困难,所以网络管理员必须深思加以解决。用动态IP地址分配(DHCP)的最大优点是客户端网络的配置非常简单,在没有管理员的帮助和干预的情况下,用户自己便可以对网络进行连接设置。但是,因为IP地址是动态分配的,网管员不能从IP地址上鉴定客户的身份,相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。 我校联网
5、计算机用户有300多台,在管理过程中,我们使用静态IP地址分配,为了防止IP地址冲突,必须对各部门进行合理的IP地址规划,在第三层上方便地跟踪管理,加强对MAC地址的管理,有效地解决了这一问题。针对IP盗用问题,我们主要采用以下两种解决办法:一、对网络配置相关的动态链接库文件反注册为了有效地防止局域网IP地址冲突的发生,保证IP地址的一致性,网络管理员必须建立规范的IP地址分配表、IP地址和硬件地址(MAC)登记表(见附表一),并且做到完备备案。附表一: 序号使用者计算机名IP地址MAC地址部门联系电话1张三hangman19216810200-EO-4C-6C-08-75计算机组139842
6、62李四lisi19216810300-EO-4C-6C-08-76机电组1395426管理员在每个客户端的计算机上做如下几步操作:右键单击“网上邻居”选择“属性” 在出现的对话框中,右键单击“本地连接”选择“属性”,在出现的对话框中,双击“Internet协议(TCP/IP)”设置好客户端计算机IP配置相关信息(见图一)。图一设置好计算机名、工作组相关信息(见图二)。图二对网络配置相关的三个动态链接库文件(netshelldll、netnetmalldll、netcfgxdll)反注册。 方法:开始运行regsvr32 /u netshell.dll(见图三)。单击下一步“确定”(见图四),
7、分别将以上三个动态链接库文件反注册。 图三 图四将regsvr32exe更名、设备隐藏属性并移动到其他位置。此方法主要用于以后管理人员需要重新更改IP相关信息时,需要用此命令在使用/i反注册时调用DllInstall(见图五)。图五二、使用路由器隔离在使用静态IP地址的局域网工作环境中,网络管理员可以使用IP-MAC地址绑定方法,也就是使用静态路由技术的方法来阻止普通工作站用户随意进入TCP/IP属性设置窗口,胡乱修改本地系统的IP地址。考虑到在相同的局域网网段中,普通工作站的网络寻径不是根据主机的IP地址而是根据主机的物理地址来进行的,在不同网段之间通信时才会根据主机的IP地址进行网络寻径,
8、所以作为局域网网关的路由器设备上通常保存有IP-MAC的动态对应表,这是由ARP通信协议自动生成并维护的。我们可以进入局域网路由器的后台管理界面,从中找到配置ARP表的设置选项,对静态的ARP路由表进行个性化指定,日后局域网路由器设备会自动依照静态的ARP表检查通信数据包,要是无法对应,那么就不会进行数据转发操作。使用这种手段,网络管理员能够轻松地阻止非法攻击者在不修改网卡设备MAC地址的情况下,冒用合法工作站IP地址进行非法网络访问。为了防止非法用户通过修改网卡MAC地址的方法来制造IP地址冲突故障现象,我们可以利用局域网交换机的端口绑定功能,来有效化解非法用户通过修改网卡MAC地址的方法来
9、适应静态ARP表的问题。大家知道,常见的可管理交换机都支持端口绑定功能,我们可以利用该功能提供的端口地址过滤模式,来实现阻止IP地址冲突的目的,因为交换机的端口地址过滤模式往往会允许每一个交换机连接端口仅允许具有合法MAC地址的工作站访问网络,任何具有不合法MAC地址的工作站都将被交换机拒绝访问网络。 在组网规模较大的工作环境中,我们还可以通过划分虚拟子网的方法,来阻止IP地址冲突现象的发生。从严格意义上来说,划分虚拟工作子网其实并不属于技术措施,而是管理措施与技术措施结合在一起的手段。将那些具有相同访问行为的IP地址统一划分到相同的虚拟工作子网中,并正确设置好相关的路由策略,这样一来我们就能有效拒绝非法攻击者盗用其他工作子网IP地址现象的发生。此外,我们在管理、维护局域网的过程中,尽量少用那些直接针对IP地址授权的管理模式,而应该综合运用加密、口令、VPN连接或其他身份认证机制,建立多层次的严密的安全体系,那样一来就能有效降低IP地址冲突所带来的安全威胁了。
