看了以下的介紹之後,我們應該對我們的設備防護需更加小心了,不是嗎?
分析並解決區域網內盜用IP的安全問題
一、IP位址盜用方法分析
IP地址的盜用方法多種多樣,其常用方法主要有以下幾種:
1、靜態修改IP位址
對於任何一個TCP/IP實現來說,IP位址都是其用戶配置的必選項。如果用戶在配置TCP/IP或修改TCP/IP配置時,使用的不是授權機構分配的IP位址,就形成了IP位址盜用。由於IP位址是一個邏輯位址,是一個需要用戶設置的值,因此無法限制用戶對於IP位址的靜態修改,除非使用DHCP伺服器分配IP位址,但又會帶來其他管理問題。
2、成對修改IP-MAC地址
對於靜態修改IP位址的問題,現在很多單位都採用靜態路由技術加以解決。針對靜態路由技術,IP盜用技術又有了新的發展,即成對修改IP-MAC位址。MAC位址是設備的硬體位址,對於我們常用的乙太網來說,即俗稱的電腦網卡位址。每一個網卡的MAC位址在所有乙太網設備中必須是唯一的,它由IEEE分配,是固化在網卡上的,一般不能隨意改動。但是,現在的一些相容網卡,其MAC位址可以使用網卡配置程式進行修改。如果將一台電腦的IP位址和MAC地址都改為另外一台合法主機的IP位址和MAC位址,那靜態路由技術就無能為力了。
另外,對於那些MAC位址不能直接修改的網卡來說,用戶還可以採用軟體的辦法來修改MAC位址,即通過修改底層網路軟體達到欺騙上層網路軟體的目的。
3、動態修改IP位址
對於一些駭客高手來說,直接編寫程式在網路上收發資料包,繞過上層網路軟體,動態修改自己的IP位址(或IP-MAC地址對),達到IP欺騙並不是一件很困難的事。
二、防範技術研究
針對IP盜用問題,網路專家採用了各種防範技術,現在比較通常的防範技術主要是根據TCP/IP的層次結構,在不同的層次採用不同的方法來防止IP位址的盜用。
1、交換機控制
解決IP位址的最徹底的方法是使用交換機進行控制,即在TCP/IP第二層進行控制:使用交換機提供的埠的單位址工作模式,即交換機的每一個埠只允許一台主機通過該埠訪問網路,任何其他位址的主機的訪問被拒絕。但此方案的最大缺點在於它需要網路上全部採用交換機提供用戶接入,這在交換機相對昂貴的今天不是一個能夠普遍採用的解決方案。
2、路由器隔離
採用路由器隔離的辦法其主要依據是MAC位址作為乙太網卡位址全球唯一不能改變。其實現方法為通過SNMP協定定期掃描校園網各路由器的ARP表,獲得當前IP和MAC的對照關係,和事先合法的IP和MAC位址比較,如不一致,則為非法訪問。對於非法訪問,有幾種辦法可以制止,如:
a.使用正確的IP與MAC位址映射覆蓋非法的IP-MAC表項;
b.向非法訪問的主機發送ICMP不可達的欺騙包,干擾其資料發送;
c.修改路由器的存取控制列表,禁止非法訪問。
路由器隔離的另外一種實現方法是使用靜態ARP表,即路由器中IP與MAC地址的映射不通過ARP來獲得,而採用靜態設置。這樣,當非法訪問的IP位址和MAC位址不一致時,路由器根據正確的靜態設置轉發的幀就不會到達非法主機。
路由器隔離技術能夠較好地解決IP地址的盜用問題,但是如果非法用戶針對其理論依據進行破壞,成對修改IP-MAC位址,對這樣的IP地址盜用它就無能為力了。
3、防火牆與代理伺服器
使用防火牆與代理伺服器相結合,也能較好地解決IP地址盜用問題:防火牆用來隔離內部網路和外部網路,用戶訪問外部網路通過代理伺服器進行。使用這樣的辦法是將IP防盜放到應用層來解決,變IP管理為用戶身份和口令的管理,因為用戶對於網路的使用歸根結底是要使用網路應用。這樣實現的好處是,盜用IP位址只能在子網內使用,失去盜用的意義;合法用戶可以選擇任意一台IP主機使用,通過代理伺服器訪問外部網路資源,而無權用戶即使盜用IP,也沒有身份和密碼,不能使用外部網路。
使用防火牆和代理伺服器的缺點也是明顯的,由於使用代理伺服器訪問外部網路對用戶不是透明的,增加了用戶操作的麻煩;另外,對於大數量的用戶群來說,用戶管理也是一個問題。
責任編輯: 風隨行
※看完別忘了幫我推推喔!
no offense, just share with everybody....現在業界實際用來防治竄改IP,MAC
的先進機制有: DHCP snooping + disable ARP learning + source IP lock
switch的價格到不是最嚴重的問題, 而是手動鎖MAC的管理負擔. 僅在switch port設定允許單一MAC, 不能防止使用者先改MAC後再接上的問題, 如果每埠僅鎖單一
MAC,也將會失去電腦的可移動性,難以兼顧安全與管理.
利用DHCP snooping + disable ARP learning, 可以強制使用者必須經由DHCP
來獲得發放的IP組態, 如果你是手動設定IP/MAC, 即使內容跟DHCP給的一模一樣,
很抱歉還是不會通, 更不用說自己私設. 因為switch已經不會學你的source MAC,
只有經過DHCP的方式才行, 而switch會snooping DHCP的過程, 將DHCP server給的IPMAC資訊視為唯一可信賴的來源即可防止使用者私自設定IPMAC. 而為了進一步防止有人私設DHCP server來迴避這個管理, 更可以 trusted DHCP server的限定機制,將合法的DHCP server鎖定為管理者指定的那台主機與來源埠, 其他port都不准許有DCHP reply的服務, 來達成更嚴格的防弊. 提供參考~
感謝raziel給我們更多的思維~