當(dāng)前位置 : 首頁(yè)>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

企業(yè)局域網(wǎng)內(nèi)DHCP服務(wù)器的安全設(shè)計(jì)

http://m.yibo1263.com　2009-2-11 7:53:40 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　我們都知道，IP地址是企業(yè)局域網(wǎng)主機(jī)進(jìn)行相互通信的基礎(chǔ)。若主機(jī)沒有IP地址的話，則這臺(tái)主機(jī)是不能夠上網(wǎng)的。而DHCP服務(wù)器則是掌管著管理企業(yè)局域網(wǎng)主機(jī)IP地址的重任，若其出現(xiàn)安全性漏洞的話，則對(duì)于企業(yè)整個(gè)局域網(wǎng)的打擊是致命的，會(huì)導(dǎo)致企業(yè)整個(gè)網(wǎng)絡(luò)的癱瘓。

　　所以，網(wǎng)絡(luò)管理員在部署DHCP服務(wù)器的同時(shí)，還需要關(guān)注一下，DHCP服務(wù)器的安全性問(wèn)題。具體的來(lái)說(shuō)，我們可以從以下幾個(gè)方面入手，做好DHCP服務(wù)器的安全性管理。

　　第一步：管理好管理員帳戶。

　　DHCP服務(wù)器安全性設(shè)計(jì)的第一步就是要做好管理員帳戶的安全措施。因?yàn)闊o(wú)論是黑客，還是木馬或者病毒，其若沒有取得管理員權(quán)限的話，則其破壞性也是非常有限的。所以，網(wǎng)絡(luò)管理員第一步要做就是看看該如何保護(hù)好這個(gè)管理員帳戶。

　　為此，不同的DHCP服務(wù)器角色有不同的保護(hù)措施。

　　如我們是在路由器上采用DHCP服務(wù)的，則可以通過(guò)IP地址等限制。因?yàn)槁酚善鞯脑�，我們一般都通過(guò)遠(yuǎn)程來(lái)管理DHCP服務(wù)器，如通過(guò)TELENT或者SSH協(xié)議遠(yuǎn)程連接到服務(wù)器上進(jìn)行管理。為此，我們可以指定一臺(tái)主機(jī)，只有這臺(tái)主機(jī)才可以連接到路由器上進(jìn)行DHCP服務(wù)器的管理。為此，我們可以在路由器的防火墻上配置，只允許某個(gè)IP地址或者M(jìn)AC地址的主機(jī)才能夠連上來(lái)進(jìn)行DHCP服務(wù)管理。通過(guò)這種方式，再加上用戶的口令，則可以比較好的保障管理員帳戶的安全性。從而不讓攻擊者有機(jī)可乘，破壞DHCP服務(wù)器的安全與穩(wěn)定。

　　如DHCP服務(wù)器是部署在微軟的操作系統(tǒng)上，并且在域環(huán)境中，則管理起來(lái)更加的方便。如我們可以在活動(dòng)目錄用戶和計(jì)算機(jī)中，可以建立一個(gè)用戶，專門用來(lái)管理DHCP服務(wù)器。用戶新建立之后，則可以把這個(gè)用戶指定為管理員角色，讓其有權(quán)限管理DHCP服務(wù)器。一般來(lái)說(shuō)，筆者是建議各個(gè)服務(wù)器的話，采用不同的管理員帳戶。這主要是避免某個(gè)管理員帳戶與口令被泄漏之后，其只影響某個(gè)特定的服務(wù)，對(duì)其他服務(wù)不會(huì)有什么不良的影響。另外，對(duì)于建立在微軟操作系統(tǒng)的DHCP服務(wù)器來(lái)說(shuō)，也可以實(shí)現(xiàn)遠(yuǎn)程管理。為此，我們也可以利用微軟操作系統(tǒng)自帶的安全策略，指定只有哪些主機(jī)可以連接到DHCP服務(wù)器上進(jìn)行相關(guān)的管理動(dòng)作。

　　總之，攻擊者要攻擊企業(yè)的DHCP服務(wù)器的話，第一步是收集相關(guān)的信息然后進(jìn)行分析;第二步就是設(shè)法取得管理員權(quán)限的帳戶與口令。若我們能夠保護(hù)好管理員帳戶與口令的話，則非法攻擊者將拿我們沒辦法。

　　第二步：要了解DHCP服務(wù)器的運(yùn)行情況。

　　做好管理員帳戶的安全措施之后，網(wǎng)絡(luò)管理員接下去要做的就是了解DHCP服務(wù)器的運(yùn)行狀況;以及在DHCP出現(xiàn)故障之前到底發(fā)生了什么事情，或者出現(xiàn)過(guò)哪些異常的情況。要做到這一點(diǎn)，最好的辦法就是查看DHCP服務(wù)器的日志。不過(guò)，有些DHCP服務(wù)器默認(rèn)情況下，是沒有開啟DHCP服務(wù)器的審核記錄日志的。若要啟用這個(gè)功能，往往需要我們手工開啟。否則的話，DHCP服務(wù)器的一些運(yùn)行信息，包括一些異常信息是無(wú)法被服務(wù)器的日志所記錄的。

　　下面筆者以微軟操作系統(tǒng)自帶的DHCP服務(wù)為例，談?wù)勅绾伍_啟這個(gè)“審核記錄”的功能。

　　我們?cè)诠芾砉ぞ咧校业紻HCP服務(wù)器管理器，打開DHCP服務(wù)器控制臺(tái)窗口，右鍵單擊我們的服務(wù)器，選擇屬性。在彈出的對(duì)話框中，切換到“常規(guī)”標(biāo)簽，看看“啟用DHCP審核記錄”選項(xiàng)是否被選中。若選中的話，則DHCP服務(wù)器的一些運(yùn)行信息，就會(huì)被保存在系統(tǒng)的日志中。否則的話，就不會(huì)記錄DHCP服務(wù)器的運(yùn)行狀態(tài)，我們也就不能夠知道DHCP服務(wù)器到底出了什么事情。

　　不過(guò)有些時(shí)候，黑客光臨了DHCP服務(wù)器之后，往往會(huì)想法設(shè)法的隱藏自己的蹤跡。其中有一項(xiàng)措施就是修改或者刪除日志文件。為此，我們?yōu)榱朔乐共环ü粽叻欠ㄐ薷娜罩疚募覀冃枰倪@個(gè)日志文件的默認(rèn)路徑。在同一個(gè)對(duì)話框中，我們可以看到一個(gè)“數(shù)據(jù)庫(kù)路徑”的選項(xiàng)。后面的內(nèi)容就是這個(gè)日志默認(rèn)的保存地點(diǎn)。網(wǎng)絡(luò)管理員可以根據(jù)實(shí)際情況，選擇合適的日志保存路徑。

　　另外，這個(gè)日志也是我們?nèi)蘸驞HCP服務(wù)器出現(xiàn)故障后排除錯(cuò)誤的一個(gè)重要基礎(chǔ)數(shù)據(jù)。所以，我們還需要對(duì)這個(gè)日志文件作好相關(guān)的備份工作。否則的話，當(dāng)這個(gè)日志意外丟失后，我們就很對(duì)查清DHCP服務(wù)器的故障了。還有就是最好能夠?qū)︖@個(gè)日志進(jìn)行異地備份，如此的話，即使DHCP服務(wù)器全部癱瘓了，我們也可以從異地備份的日志中看到DHCP服務(wù)器最后做了哪些動(dòng)作，才會(huì)導(dǎo)致這個(gè)服務(wù)器故障。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·三方面控制好你的局域網(wǎng)網(wǎng)速

·為局域網(wǎng)提供更安全的保護(hù)

·解決局域網(wǎng)常掉線問(wèn)題

·巧設(shè)路由阻斷局域網(wǎng)病毒傳播路徑

·無(wú)線局域網(wǎng)秘訣：因地制宜靈活布置

·無(wú)線局域網(wǎng)協(xié)議及基本用語(yǔ)全解析

·網(wǎng)管組建有線/無(wú)線局域網(wǎng)必看方案

·組建安全高效無(wú)線局域網(wǎng)

·家庭無(wú)線局域網(wǎng)優(yōu)劣取決于無(wú)線信號(hào)

·Win7與XP局域網(wǎng)無(wú)法訪問(wèn)解決辦法

·無(wú)線局域網(wǎng)中的路由器配置方法

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费