2024年3月13日发(作者:)
ELECTRONICS WORLD
・
探索与观察
思科DHCPSnooping技术的网络安全管理方案
92196部队 胡冬英
随着网络规模扩大和拓扑结构的适当调整,IP地址更多的是以
动态分配形式为主。不过实际生活中存在许多的IP地址盗用、ARP
病毒攻击等现象,究其原因就是用户比较多、地理位置较为分散以
及随机性太强,进而造成网络安全管理工作的巨大困扰。本文结
合思科DHCP Snooping(DHCP 监听)、DAI(ARP 检测)、IPSG(IP 源
地址防护)等技术探究合理的网络安全管理方案。
21世纪以来,互联网技术日益更新,在为人们带来许多生活便
利的同时,还隐藏着网络安全的隐患。我们急需对网络安全情况
引起重视,在享受网络的便利同时提高防范心理。那么,如何解
决这一安全问题呢?要始终坚持“安全第一,预防为主”的指导
策略,做好前期防范工作和事中援救事宜,根据预测、分析与防
治工作出具应急预案,将可能出现的网络安全问题的解决处理办
法的重点落在准确性与便捷性上,提高应急处置能力,最大限度
地减少网络安全危机的发生及其不良后果。
1 网络安全日常管理
日常管理是网络安全工作的基础,改进平时的管理,必须不
断增强安全防范意识:网络管理员和所有员工都要高度重视网络安
全,时刻保持警觉,决不松懈,共同为网络筑起一道“防护墙”。
其日常管理有以下基本规则。
(1)要确保内部局域网和外网严格执行物理隔离。对局域网
中的每一个用户来说,在进入到局域网之前,系统必须进行补丁下
载,并且在进入到局域网之前对病毒进行杀毒。每台PC都要经过
实名认证,并将IP地址和MAC地址相关联。
(2)要安装杀毒软件:每个网络服务器、电脑等设施对有关
杀毒软件的配备上是具有必要性的,使用者在固定周期内进行软件
升级和杀毒操作。在紧急情况下,客户使用端口会被迫进行升级与
杀毒操作。
(3)要做好密码设置工作:指定计算机设备,如局域网中连接
外网的计算机服务器、门户网、网络服务器、远程服务器等,必须设
置不同的登录密码,这一密码最好的设置是由数字、26个英文字母及
标点符号构成,长度为12位数,定期删除和更换设备的登录密码。
(4)对一些核心的设施和体系上尽量不使用相同的登入名和
密码,软件的连接密码和开机密码也不能一样。登录名尽可能不
使用admin。
(5)要做好数据备份工作:在一切正常的情况下,外网计算
机不存储关键数据,中国禁止存储机密的商业数据和企业内部参
考数据。
(6)要保存并分析重要日志和记录:需要不少于留存有90天
的网络使用行为管理、入侵检测记录。相关负责人员时常查阅及评
析相关记录,以确保网络安全。
2 关键技术:Snooping
Snooping(DHCP 监听)属于思科公司的一种具备DHCP安全
特性的技术,主要应用对象是交换机。待到交换机启动该特性
之后,会对网络之中存在的用户DHCP报文予以监听,从而构成
DHCP监听绑定表。该表格主要是由报文检测和IP源地址防护技术
的运用供应重要信息。
指的是DHCP报文中存在的中继代理信息选项,主要应用在
IPSG技术使用时。一旦DHCP客户端将地址请求报文经由路由器和
交换机等插入Option82选项,Option82在内容上涵盖了请求地址主
机的MAC地址、连接主机的端口号,假使DHCP Server对Option82
予以支持,那么就能够遵照Option82包在内的全部信息都能够分配
到IP地址。假使DHCP Server对Option82不支持的话,那么就应当将
DHCP Request包丢弃掉,进而主机也就得不到IP地址了。
DHCP Server回应报文经过整个中继设备的时候,中继设备会
对回应包中存在的Option82 MAC地址和端口号是不是和最初插入
的时候相一致,待到确认无误之后就将有关信息删除掉,以此对回
应包转发给对应的请求客户机。如图1所示。
图1 Option82作用
3 基于Snooping技术的网络安全应急措施
3.1 内部局域网安全应急措施
(1)网络流量异常
维护人员采取技术措施监视网络状况,发现造成异常的原因。
•
51
•
ELECTRONICS WORLD
・
探索与观察
如果发现由内部客户终端设备引起的异常,应立即通知客户,并确
保其安全。如异常产生的原因来自外部网络,则对相关源网络立即
封禁,并立即执行系统日志记录工作。
(2)网络病毒爆发
针对网络病毒的大规模爆发,一旦得到确认,就应立即采取
一定的有效措施,合理控制病毒的爆发类型。①局域网分地区暴
发病毒当局域网分地区爆发病毒时,应尽早查明病毒来源,并断
开相应子网络,网管人员应立即采取有效措施进行处理(或通知
相关企业,由网管人员跟踪处理)。当能确保无病毒的安全情况
下,子网络就能再次启动使用。②整个网络出现病毒且局域网主
要部分遭到破坏下,依照网管策略分析和明确病毒门类,然后切
断有关子网络。在明确病毒出现较为危急的可能门类时,按照网
络的连接层更换设备慢慢缩小病毒源头的门类,直到找到病毒的
真正位置,清除病毒危害后,网络才能重新启动。
(3)病毒处理
发现计算机设备如网络服务器和无线路由器、服务器防火墙
上的病毒状况。第一步,在有可能的情况下中断网络服务器的本
地连接,避免病毒在局域网外扩散,关键网络服务器立即打开备
份数据机,确保业务流程的所有运行正常。第二步,审查网络信
息安全设施的相关记录,像入侵检测记录、IPS等,评析去除病
毒源头,了解病毒来自于哪台服务器、IP,从局域网中切断病毒
源网络和终端设备,从源头切断病毒源,另外,发现网络病毒源
时,应立即关闭端口等措施来保护病毒。第三步是通知服务器用
户已经感染了病毒,并立即将其清除的技术解决方案,具体指导
用户杀灭病毒。
发现病毒后,对内网重要业务用机采取以下措施。第一步,中
断服务器的数据连接,立即打开备份数据机,确保所有业务流程正
常运行,报告部门负责人,通知病毒来源所在部门领导。病毒检
测、检查后系统执行补丁下载升级等(或具体指导)。第二步,
数据分析系统的损坏程度,尽可能修复并保存重要数据信息。第
三步,如果检查后不能修复系统,如果备份信息出现关键数据情
况下,需要再次安装计算机操作系统及系统软件等。最后,审查
系统记录,进行了解了解等,找出病毒来源,采取一定有效措施,
避免再中毒。
首先发现病毒,立即中断服务器数据连接,避免病毒外泄。其
次审查明确病毒传染缘由,使用有关技术策略,避免病毒又一次的
加重。最后,网管人员出具把病毒消除的策略施展计划,全面开展
病毒检测,采取相应的技术措施,防止再中毒。
3.2 外网安全应急措施
(1)外部局域网被攻击
如网络行为管控、WEB危险预防、WEB网络服务器等受攻
•
52
•
击,造成无法正常运转,应在第一时间采取相应的应对措施,并向
部门主管报告,立即开展系统日志记录工作。
若信息被恶意篡改,则有关人员应首先切断受攻击机械设备的
物理数据连接(如果没有任何不良影响,则必须在整个维修服务项
目过程中应用到网络上,可连续连接数据),分析记录事件日志的
攻击恶性事件,调整安全设置。基于系统软件记录系统日志和事件
日志,分析攻击源,并与相关部门负责人进行协作。
篡改信息后,立即切断相关信息的在线连接,尽快进行数据
修复,以创建相关记录查找原因。根据总体安全标准,由于其他
不确定性因素造成的网络瘫痪和信息篡改问题,可以结合实际情
况相对地得到解决。
对应用攻击的系统脆弱性、攻击方式、全过程进行分析,并对
攻击的详细地址进行分析,对系统软件进行破坏程度评估,对系
统备份和数据信息进行技术处理,存储病毒事件日志,有针地性
地面向网站薄弱环节进行维护,闭上攻击端口号,按照注册文件
设计其显示项目,使用专门的杀毒软件,改进计算机设备和系统
设置等。在病毒完全清除后,对发生的恶性事件进行彻底处理,
发现机械设备配置、系统设置发生变化时,对局域网中备份数据
进行新配置,并对计算机设备进行相对无线路由器、服务器防火
墙、网络服务器等的修复,必要时对数据库进行查询,在备份数
据生成时,对设备进行校验,并重新安装系统等等。
(2)发生违反法律法规等安全事件
当学习发生泄露、企业外部网络疏导攻击等恶性事件发生时,
应立即向主管人员报告,并由公司主管部门进行技术检查和正确
定位。当袭攻击还在继续时,必要的话管理员应先切断企业对外
的总入口,对数据信息泄漏器进行数据连接切断等操作,查明攻
击事件造成的危害程度(或分析可能造成的危害程度),采取相
应的应急措施。系统软件中保存和出示网络日志、网络管理系统
日志等,全力协助公安部门进行调查。
结语:本文结合思科DHCP Snooping(DHCP 监听)、DAI(ARP
检测)、IPSG(IP 源地址防护)等技术探究合理的网络安全管理方
案。网络管理员在对网络和信息进行安全管理时,必须始终坚持
安全理念,首先要确保观念健全的安全管理方案,根据预测、分
析与防治工作出具应急预案,将可能出现的网络安全问题的解决
处理办法的重点落在准确性与便捷性上,提高应急处置能力;要
严格坚持人防、物防、技防共同执行的准则,确保能有效地应对
各项紧急事项,使得网络管理正常进行。
作者简介:胡冬英(1981—),女,浙江上虞人,硕士,工程
师,研究方向:计算机科学与技术。
发布评论