首頁(yè) > 學(xué)院 > 網(wǎng)絡(luò )管理 > 正文

善用DHCP監聽(tīng)技術(shù),維護局域網(wǎng)安全

2021-07-21 22:15:19
字體:
來(lái)源:轉載
供稿:網(wǎng)友
為了提高局域網(wǎng)的地址管理效率,相 信很多網(wǎng)絡(luò )管理員都會(huì )在單位內部架設一臺DHCP服務(wù)器,來(lái)為網(wǎng)絡(luò )中的客戶(hù)端系統自動(dòng)分配上網(wǎng)參數,在這種上網(wǎng)環(huán)境下,DHCP服務(wù)器的工作安全性,會(huì )直 接影響著(zhù)整個(gè)局域網(wǎng)的運行安全性。在實(shí)際管理網(wǎng)絡(luò )的過(guò)程中,局域網(wǎng)可能經(jīng)常會(huì )遇到同時(shí)存在多臺DHCP服務(wù)器的現象,這些現象一旦出現,很可能引起資源方 面的沖突,最終引發(fā)局域網(wǎng)不能安全、穩定地運行。為了維護局域網(wǎng)的運行安全,我們可以嘗試利用DHCP監聽(tīng)技術(shù),對DHCP服務(wù)器的工作安全性進(jìn)行監聽(tīng), 以及早消除單位內網(wǎng)中潛在的安全隱患。

安全維護思路

          對于DHCP服務(wù)器來(lái)說(shuō),DHCP監聽(tīng)技術(shù)其實(shí)就是一種過(guò)濾DHCP報文的技術(shù)。通過(guò)在局域網(wǎng)的核心交換機中啟用DHCP監聽(tīng)功能,可以將來(lái)自局域網(wǎng)中重 要主機或網(wǎng)絡(luò )設備的不可信任DHCP報文過(guò)濾掉,保證客戶(hù)端系統只能從經(jīng)過(guò)網(wǎng)絡(luò )管理員特別授權的可信任DHCP服務(wù)器那里獲得上網(wǎng)參數,那樣一來(lái)可信任的 DHCP服務(wù)器就不會(huì )受到非信任DHCP服務(wù)器的“干擾”,那么局域網(wǎng)的運行安全性、穩定性就能得到保證。比方說(shuō),局域網(wǎng)中原先只有一臺可信任的DHCP 服務(wù)器,當用戶(hù)不小心將自帶有DHCP服務(wù)功能的打印服務(wù)器接入到網(wǎng)絡(luò )后,那么打印服務(wù)器就會(huì )“搖身”變成一臺非信任的DHCP服務(wù)器,這時(shí)局域網(wǎng)中就會(huì ) 同時(shí)存在兩臺DHCP服務(wù)器,那么普通的客戶(hù)端系統該從哪一臺DHCP服務(wù)器中獲得上網(wǎng)參數呢?為了保證客戶(hù)端系統能夠獲得合法上網(wǎng)參數,我們只要在交換 機上啟用了DHCP監聽(tīng)功能,那么普通客戶(hù)端系統就會(huì )忽略打印服務(wù)器的存在,而會(huì )自動(dòng)向可信任的DHCP服務(wù)器去申請上網(wǎng)參數。

       DHCP監聽(tīng)功能在工作的時(shí)候,交換機會(huì )只允許客戶(hù)端用戶(hù)發(fā)送DCHP請求,同時(shí)會(huì )將類(lèi)似提供響應的其他DCHP報文自動(dòng)丟棄掉,這么一來(lái)普通客戶(hù)端系統 只能從合法的DHCP服務(wù)器那里獲得有效的上網(wǎng)參數;雖然非法的DHCP服務(wù)器也能夠對客戶(hù)端系統的上網(wǎng)請求進(jìn)行響應,但是交換機的DHCP監聽(tīng)功能會(huì )將 非法DHCP服務(wù)器的提供響應報文自動(dòng)丟棄掉,那么客戶(hù)端系統是無(wú)法接受到非法DHCP服務(wù)器的回復報文的。此外,通過(guò)DHCP監聽(tīng)功能,交換機會(huì )將局域 網(wǎng)中的DHCP報文,自動(dòng)識別為可信任的DHCP報文和不可信任的DHCP報文,對于來(lái)自防火墻、外網(wǎng)設備或者沒(méi)有經(jīng)過(guò)網(wǎng)絡(luò )管理員授權的DHCP服務(wù)器發(fā) 送過(guò)來(lái)的DHCP報文,DHCP監聽(tīng)功能會(huì )自動(dòng)將它識別為不可信任的DHCP報文,同時(shí)對這樣的報文執行丟棄處理,那樣一來(lái)沒(méi)有授權的非信任DHCP服務(wù) 器就不會(huì )干擾局域網(wǎng)的安全運行。
 
安全維護范圍

DHCP監聽(tīng)技術(shù)在保護局域網(wǎng)的DHCP服務(wù)器運行安全時(shí),主要是通過(guò)過(guò)濾數據報 文的方式,來(lái)將DHCP服務(wù)器識別為信任端口或非信任端口的,對于來(lái)自信任端口的數據信息,交換機會(huì )允許其正常接受和發(fā)送,而對于來(lái)自非信任端口的數據信 息,交換機則不予響應。具體的來(lái)說(shuō),DHCP監聽(tīng)技術(shù)的安全維護范圍主要表現在以下幾個(gè)方面:

1、預防地址沖突
DHCP監聽(tīng)技 術(shù)可以防止非信任DHCP服務(wù)器通過(guò)地址沖突的方式,干擾信任DHCP服務(wù)器的工作穩定性。在實(shí)際管理網(wǎng)絡(luò )的時(shí)候,我們經(jīng)常會(huì )發(fā)現在相同的工作子網(wǎng)中,可 能同時(shí)有多臺DHCP服務(wù)器存在,這其中有的是網(wǎng)絡(luò )管理員專(zhuān)門(mén)架設的,也有的是無(wú)意中接入到網(wǎng)絡(luò )中的。比方說(shuō),ADSL撥號設備可能就內置有DHCP服務(wù) 功能,一旦將該設備接入到局域網(wǎng)中后,那么該設備內置的DHCP服務(wù)器就會(huì )自動(dòng)為客戶(hù)端系統分配IP地址。這個(gè)時(shí)候,經(jīng)過(guò)網(wǎng)絡(luò )管理員授權的合法DHCP服 務(wù)器,就可能與ADSL撥號設備內置的DHCP服務(wù)器發(fā)生地址上的沖突,從而可能會(huì )對整個(gè)局域網(wǎng)的安全性帶來(lái)威脅。這種威脅行為往往比較隱蔽,一時(shí)半會(huì )很 難找到。一旦使用了DHCP監聽(tīng)技術(shù),我們就可以在局域網(wǎng)的核心交換機后臺系統修改IP源綁定表中的參數,并以此綁定表作為每個(gè)上網(wǎng)端口接受數據包的檢測 過(guò)濾標準,來(lái)將沒(méi)有授權的DHCP服務(wù)器發(fā)送的數據報文自動(dòng)過(guò)濾掉,那樣一來(lái)就能有效預防非法DHCP服務(wù)器引起的地址沖突問(wèn)題了。

2、預防Dos攻擊
大家知道,一些非常陰險的攻擊者往往會(huì )單獨使用Dos攻擊,襲擊局域網(wǎng)或網(wǎng)絡(luò )中的重要主機系統;要是不幸遭遇Dos攻擊的話(huà),那么局域網(wǎng)的寶貴帶寬資源 或重要主機的系統資源,就會(huì )被迅速消耗,輕則導致網(wǎng)絡(luò )傳輸速度緩慢或系統反應遲鈍,重則出現癱瘓現象。而要是在核心交換機中使用了DHCP監聽(tīng)技術(shù)的話(huà), 那么局域網(wǎng)就可以有效抵御Dos攻擊了,因為Dos攻擊主要是用大量的連接請求沖擊局域網(wǎng)或重要主機系統,來(lái)消耗帶寬資源或系統資源的,而DHCP監聽(tīng)技 術(shù)恰好具有報文限速功能,利用這個(gè)功能我們可以合理配置許可的每秒數據包流量,這樣就能實(shí)現抵御Dos攻擊的目的了。

3、及時(shí)發(fā)現隱患
    大家知道,在默認狀態(tài)下核心交換機會(huì )自動(dòng)對第二層Vlan域中的DHCP數據報文進(jìn)行攔截,具體地說(shuō),就是在選用中級代理信息選項的情況下,交換機在將客 戶(hù)端的上網(wǎng)請求轉發(fā)給特定的DHCP服務(wù)器之前,它會(huì )自動(dòng)將端口號碼、入站模塊、MAC地址、Vlan號等信息插入到上網(wǎng)請求數據包中。這個(gè)時(shí)候,如果結 合接口跟蹤功能,DHCP監聽(tīng)技術(shù)就能夠自動(dòng)跟蹤DHCP服務(wù)器中地址池里的所有上網(wǎng)地址,而不會(huì )受到單位局域網(wǎng)中跨網(wǎng)段訪(fǎng)問(wèn)的限制,這么一來(lái)就能及時(shí)發(fā) 現局域網(wǎng)中的一些安全隱患,對于跨網(wǎng)段的DHCP服務(wù)器運行安全也能起到一定程度的防護作用。

4、控制非法接入
由于任何一種形 式的數據報文,都是通過(guò)交換端口完成發(fā)送與接收操作的,顯然交換端口的工作狀態(tài)與DHCP監聽(tīng)的效果息息相關(guān)。一般來(lái)說(shuō),我們會(huì )將網(wǎng)絡(luò )管理員授權的合法 DHCP服務(wù)器所連的交換端口設置為DHCP監聽(tīng)信任端口,或者是將分布層交換機之間的上行鏈路端口設置為DHCP監聽(tīng)信任端口。對于信任端口來(lái)說(shuō),交換 機會(huì )允許它正常發(fā)送或接收所有的DHCP數據報文,這么一來(lái)交換機就會(huì )只允許合法的DHCP服務(wù)器對客戶(hù)端系統的上網(wǎng)請求進(jìn)行響應,而非法的DHCP服務(wù) 器則不能向局域網(wǎng)發(fā)送或接收DHCP數據報文。很明顯,通過(guò)這種技術(shù)手段,就能控制非法的DHCP服務(wù)器接入到單位局域網(wǎng)中了。

安全維護配置
    為了有效使用DHCP監聽(tīng)功能,防護局域網(wǎng)的運行安全,我們需要對該功能進(jìn)行正確配置,讓其按照實(shí)際安全運行需求進(jìn)行工作。由于DHCP監聽(tīng)功能主要是通 過(guò)建立端口信任關(guān)系實(shí)現數據過(guò)濾目的的,為此我們需要重點(diǎn)配置究竟哪些交換端口是信任端口,哪些交換端口是非信任端口。具體的說(shuō),我們需要在交換機中進(jìn)行 下面幾項安全維護配置操作:

1、信任配置
       這種配置主要就是在合法DHCP服務(wù)器所連交換端口上啟用信任,或者是在分布層或接入層交換機之間的互連端口上啟用信任。如果不對上述重要端口建立信任配 置,那么普通客戶(hù)端系統將無(wú)法正常從合法DHCP服務(wù)器那里接受到有效的上網(wǎng)參數。當然,為了防止普通員工私下搭建DHCP服務(wù)器,威脅合法DHCP服務(wù) 器的運行安全,我們有必要將普通客戶(hù)端系統所連的交換端口設置為非信任的端口,那樣一來(lái)交換機會(huì )將來(lái)自客戶(hù)端系統的提供響應報文自動(dòng)丟棄掉,此時(shí)局域網(wǎng)中 的其他客戶(hù)端系統不知道有這臺非法DHCP服務(wù)器的存在。
2、限速配置
為了防止Dos攻擊,我們需要將DHCP監聽(tīng)功能自帶的 報文限速特性啟用起來(lái),通過(guò)這個(gè)特性避免連續、大流量的數據攻擊,保證局域網(wǎng)的寶貴帶寬資源不會(huì )被迅速消耗,從而維護局域網(wǎng)的運行安全性。很多時(shí)候,網(wǎng)絡(luò ) 管理員都會(huì )在局域網(wǎng)中部署這樣或那樣的Dos防護工具,不過(guò)從實(shí)踐安全防護效果來(lái)看,我們建議大家還是啟用DHCP監聽(tīng)技術(shù)的請求限速功能。在啟用這項功 能時(shí),我們只要簡(jiǎn)單地執行“IP Dhcp Snooping Limit Rate x”命令就可以了,其中“x”為具體的限速標準,該數值需要網(wǎng)絡(luò )管理員依照單位局域網(wǎng)的實(shí)際運行情況來(lái)有針對性的配置。 
  

3、代理配置
       在局域網(wǎng)中存在多個(gè)Vlan的情況下,我們必須在交換機中啟用中級代理信息選項,也就是啟用82選項,才能保證DHCP監聽(tīng)功能提供跨網(wǎng)段安全防護服務(wù)。 在DHCP監聽(tīng)中啟用中級代理信息選項時(shí),只要執行“ip dhcp snooping information option”命令就可以了。
發(fā)表評論 共有條評論
用戶(hù)名: 密碼:
驗證碼: 匿名發(fā)表