摘要:从供电企业内网Intranet运行的情况来看,存在非法使用IP地址接入网络的现象居多,冒充合法用户使用网络服务,这种行为侵害了正常用户的权益,危及网络安全,扰乱网络的正常运行。为了有效地保护合法用户的权益,维护网络正常运行和安全,本文主要就IP地址与网络安全的问题进行论述,详细介绍了常见的非法使用IP地址的行为,并提出相应的解决措施和策略,可有效解决企业内部网中非法使用IP地址的问题。
【关键词】非法IP地址;端口安全;DHCP窥探;解决策略
使用TCP/IP协议构建的企业Intranet是一个开放的、互操作的通信系统,IP地址是TCP/IP网络中可寻址设备的唯一逻辑标识。对于IP网络上的每台计算机必须分配一个唯一的IP地址才能够连接到网络使用服务,IP地址是使用网络服务的必备资源。在企业网络中,IP地址还往往标志着享有不同类型或级别的服务。非法使用IP地址侵害了合法用户的权利,并且给网络安全和网络运行带来了巨大的负面影响,探讨使用非法IP地址的问题,并寻找有效的解决方法对维护企业网的安全和健康运行是非常必要的。
1. IP地址管理面临的主要问题
1.1产生原因
在大多数局域网的运行管理工作中,信通运维人员负责管理用户IP地址的分配,用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。无论是在Windows操作系统还是在Linux操作系统中,由于终端用户可以自由修改IP地址的设置就产生了IP地址非法使用的问题。
1.2改动后的IP地址在局域网中运行时可能出现的情况如下:
(1)非法的IP地址即IP地址不在规划的局域网范围内,网络呼叫中断。
(2)重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网。
(3)冒用合法用户的IP地址,当合法用户不在线时,冒用其IP地址上网,使合法用户的权益受到侵害。前两种情况可被网络系统自行识别而屏蔽,导致运行中断,第三种情况操作系统则不能有效判别。如果系统管理员未采取防范措施,第三种情况将涉及到注册用户的合法权益得不到有效保护,危害很大。
1.3 IP地址非法使用的动机
IP地址的非法使用问题,不是普通的技术问题,而是一个管理问题。只有找到其存在的理由,根除其存在的基础,才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况:
(1)干扰、破坏网络服务器和网络设备的正常运行。
2)企图拥有被非法使用的IP地址所拥有的特权。
(3)因机器重新安装、临时部署等原因,无意中造成的非法使用。
1.4非法使用方法
(1)静态修改IP地址对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是网管分配的IP地址,就形成了IP地址非法使用。由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址,但又会带来其它管理问题。
(2)成对修改MAC地址和IP地址对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对于常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改,另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。非法用户如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,那静态路由技术就无能为力了。
(3)IP电子欺骗对于一些黑客高手来说,IP电子欺骗是伪造某台主机IP地址的技术,它通常需要直接编程来实现。比如:通过使用SOCKET编程,动态修改自己的IP地址(或IP-MAC地址对),绕过上层网络软件,在网络上收发带有假冒的源IP地址的IP数据包,达到IP电子欺骗并不是一件很困难的事。
期刊文章分类查询,尽在期刊图书馆
2.非法使用IP地址的解决策略
根据网络中IP地址的分配方案是静态分配还是DHCP动态分配以及根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的非法使用。
2.1交换机端口安全技术
端口安全技术通过报文的源MAC或IP地址来限定报文是否可以进入交换机的端口。端口安全支持IP+MAC绑定或者仅绑定IP,满足绑定规则的报文允许进入交换机,否则报文被丢弃。在支持ARPCheck功能的交换机中,ARP报文检查功能,对逻辑端口下的所有的ARP报文根据合法用户信息(IP或IP+MAC)产生相应的ARP过滤信息进行过滤,对所有非法的ARP报文进行丢弃,能够有效的防止网络中ARP欺骗,防止非法使用IP地址,提高网络的稳定性。
2.2DHCP窥探技术
用DHCP进行动态IP地址分配的网络中,DHCP窥探技术通过对DHCP客户和服务器之间的DHCP交互报文进行窥探,实现对用户的监控。同时DHCP窥探起到一个DHCP报文过滤的功能,实现对非法服务器的过滤,防止合法用户使用非法DHCP服务器提供的IP地址。DHCP窥探把用户获取到的IP信息以及用户计算机的MAC地址、VLAN号、连接端口号、租约时间等信息添加到DHCP窥探数据库中,配合ARP检测功能,防止用户私设IP地址,从而达到控制用户连网的目的。
2.3动态ARP检测技术
ARP协议本身不对收到的ARP报文进行合法性检查,这给了攻击者实施ARP欺骗攻击的机会。在开启动态ARP检查后,将在VLAN所对应的非信任端口上拦截住所有ARP请求和应答报文,然后根据DHCP窥探数据库的记录,对拦截住的ARP报文进行合法性检查。可保网络通信的安全。
2.4防网关ARP欺骗
网络中的计算机可冒充网关向客户计算机发送ARP响应报文,让客户计算机误以为网关,通信数据就被劫取到假冒网关的计算机上。启用防网关ARP欺骗技术,可以在逻辑端口上检查ARP报文的源IP是否为配置的网关IP,只有交换机的上连设备能够下发网关的ARP
报文,其它PC发送的假冒网关ARP响应报文将被过滤以防止用户收到错误的ARP响应报文。
2.5IPSourceGuard技术
为了防止客户端私设IP,可以在连接服务器与客户端网络之间的设备上开启IP SourceGuard功能。IP SourceGuard维护一个IP源地址绑定数据库,可以在对应的接口上对报文进行基于源IP、源IP+MAC的报文过滤,从而保证只有IP源地址绑定数据库中的主机才能正常使用网络,有效防止非法私设IP地址的现象发生。
2.6采用路由器隔离技术
路由器隔离可使用静态ARP表,当非法访问的IP地址和MAC地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。未经授权的IP无法通过路由器转发数据。也可以使用正确的IP与MAC地址映射覆盖非法的IP+MAC表项,向非法访问的主机发送ICMP不可达的欺骗包,干扰其数据发送,或修改路由器的访问控制列表来禁止非法访问。
2.7使用验证服务器技术
在供电企业内网中,任何使用网络服务的用户需要到网络管理部门申请帐户和口令,IP地址的使用可以是无偿的,即变IP地址管理为用户身份和口令的管理。让非法使用IP地址失去意义。
3.结束语
如何有效管理局域网络中的IP地址是一个需要根据具体情况分别对待的问题,如果地址比较少,用户数量比较大,并且用户连网环境经常变动,那么可以选择IP动态分配的方式。这样能够有效地缓解IP资源紧缺的问题;如果本局域网IP地址和主机数量相当,并且在IP地址和MAC地址之间需要一个相对稳定的对应关系,那么可以选择IP地址的静态分配方式,这样可以根据MAC地址来设置网络管理权限。工作人员非法使用IP地址,并不是为了进行侵入和破坏,而是为了谋取某些特定的权限和利益。网管拥有管理手段和技术手段。如果单纯使用技术手段来防范IP地址的非法使用,必然给供电企业产生高昂的系统投资成本和人员开支。因此,只有综合运用管理手段和技术手段,来处理IP地址非法使用问题,才能实现高可靠性的系统运行与低成本的管理维护的统一。
参考文献:
[1] 胡道元.计算机局域网[M].北京:清华大学出版社,2001:190-358.
[2](美)Vito Amato著,韩江,马刚 译.思科网络技术学院教程[M].北京:人民邮电出版社,2000.10.
[3]W.Richard Stevens 著,尹浩琼,李剑等译,TCP/IP详解[M].北京:机械工业出版社 ,2003:20-80.
论文作者:赵燕,郝海光
论文发表刊物:《电力设备》2018年第17期
论文发表时间:2018/11/11
标签:地址论文; 报文论文; 用户论文; 网络论文; 技术论文; 静态论文; 网关论文; 《电力设备》2018年第17期论文;