資源描述:
《DHCP服務器的安全設(shè)計.doc》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�����、DHCP服務器的安全設(shè)計 我們都知道���,IP地址是企業(yè)局域網(wǎng)主機進行相互通信的基礎(chǔ)���。若主機沒有IP地址的話,則這臺主機是不能夠上網(wǎng)的����。而DHCP服務器則是掌管著管理企業(yè)局域網(wǎng)主機IP地址的重任,若其出現(xiàn)安全性漏洞的話��,則對于企業(yè)整個局域網(wǎng)的打擊是致命的���,會導致企業(yè)整個網(wǎng)絡(luò)的癱瘓����?��! ∷?��,網(wǎng)絡(luò)管理員在部署DHCP服務器的同時���,還需要關(guān)注一下��,DHCP服務器的安全性問題�����。具體的來說��,我們可以從以下幾個方面入手��,做好DHCP服務器的安全性管理�。 第一步:管理好管理員帳戶�����?��! HCP服務器安全性設(shè)計的第一步就是要做好管理員帳戶的安全措施���。因為無論是黑客,還是木馬或者病
2���、毒��,其若沒有取得管理員權(quán)限的話���,則其破壞性也是非常有限的���。所以,網(wǎng)絡(luò)管理員第一步要做就是看看該如何保護好這個管理員帳戶��?����! 榇?��,不同的DHCP服務器角色有不同的保護措施�����?! ∪缥覀兪窃诼酚善魃喜捎肈HCP服務的���,則可以通過IP地址等限制�����。因為路由器的話��,我們一般都通過遠程來管理DHCP服務器��,如通過TELENT或者SSH協(xié)議遠程連接到服務器上進行管理��。為此����,我們可以指定一臺主機���,只有這臺主機才可以連接到路由器上進行DHCP服務器的管理�����。為此�����,我們可以在路由器的防火墻上配置�����,只允許某個IP地址或者MAC地址的主機才能夠連上來進行DHCP服務管理��。通過這種方式����,再加上
3、用戶的口令�,則可以比較好的保障管理員帳戶的安全性。從而不讓攻擊者有機可乘����,破壞DHCP服務器的安全與穩(wěn)定?��! ∪鏒HCP服務器是部署在微軟的操作系統(tǒng)上��,并且在域環(huán)境中�,則管理起來更加的方便����。如我們可以在活動目錄用戶和計算機中,可以建立一個用戶���,專門用來管理DHCP服務器����。用戶新建立之后,則可以把這個用戶指定為管理員角色���,讓其有權(quán)限管理DHCP服務器����。一般來說���,筆者是建議各個服務器的話,采用不同的管理員帳戶��。這主要是避免某個管理員帳戶與口令被泄漏之后����,其只影響某個特定的服務,對其他服務不會有什么不良的影響�����。另外��,對于建立在微軟操作系統(tǒng)的DHCP服務器來說��,也可以實現(xiàn)遠
4�����、程管理。為此����,我們也可以利用微軟操作系統(tǒng)自帶的安全策略,指定只有哪些主機可以連接到DHCP服務器上進行相關(guān)的管理動作�����?! 】傊粽咭羝髽I(yè)的DHCP服務器的話��,第一步是收集相關(guān)的信息然后進行分析;第二步就是設(shè)法取得管理員權(quán)限的帳戶與口令��。若我們能夠保護好管理員帳戶與口令的話����,則非法攻擊者將拿我們沒辦法?���! 〉诙剑阂私釪HCP服務器的運行情況。 做好管理員帳戶的安全措施之后�,網(wǎng)絡(luò)管理員接下去要做的就是了解DHCP服務器的運行狀況;以及在DHCP出現(xiàn)故障之前到底發(fā)生了什么事情,或者出現(xiàn)過哪些異常的情況��。要做到這一點�����,最好的辦法就是查看DHCP服務器的日志�。不
5��、過�,有些DHCP服務器默認情況下,是沒有開啟DHCP服務器的審核記錄日志的�。若要啟用這個功能,往往需要我們手工開啟�。否則的話,DHCP服務器的一些運行信息�,包括一些異常信息是無法被服務器的日志所記錄的?����! ∠旅婀P者以微軟操作系統(tǒng)自帶的DHCP服務為例����,談談如何開啟這個審核記錄的功能��?����! ∥覀冊诠芾砉ぞ咧?,找到DHCP服務器管理器�����,打開DHCP服務器控制臺窗口���,右鍵單擊我們的服務器���,選擇屬性。在彈出的對話框中����,切換到常規(guī)標簽,看看啟用DHCP審核記錄選項是否被選中���。若選中的話�����,則DHCP服務器的一些運行信息��,就會被保存在系統(tǒng)的日志中��。否則的話����,就不會記錄DHCP服務器
6、的運行狀態(tài)���,我們也就不能夠知道DHCP服務器到底出了什么事情�����。 不過有些時候��,黑客光臨了DHCP服務器之后��,往往會想法設(shè)法的隱藏自己的蹤跡�。其中有一項措施就是修改或者刪除日志文件。為此���,我們?yōu)榱朔乐共环ü粽叻欠ㄐ薷娜罩疚募?���,我們需要更改這個日志文件的默認路徑。在同一個對話框中�����,我們可以看到一個數(shù)據(jù)庫路徑的選項���。后面的內(nèi)容就是這個日志默認的保存地點����。網(wǎng)絡(luò)管理員可以根據(jù)實際情況�����,選擇合適的日志保存路徑��?���! ×硗猓@個日志也是我們?nèi)蘸驞HCP服務器出現(xiàn)故障后排除錯誤的一個重要基礎(chǔ)數(shù)據(jù)�����。所以,我們還需要對這個日志文件作好相關(guān)的備份工作�。否則的話,當這個日志意外丟失后��,我
7���、們就很對查清DHCP服務器的故障了�����。還有就是最好能夠?qū)@個日志進行異地備份�,如此的話����,即使DHCP服務器全部癱瘓了,我們也可以從異地備份的日志中看到DHCP服務器最后做了哪些動作�,才會導致這個服務器故障�����?�! 〉谌剑涸O(shè)置管理員組?����! ≡诖笮途W(wǎng)絡(luò)中�����,往往不只一個網(wǎng)絡(luò)管理員��。各個網(wǎng)絡(luò)管理員分工合作���,各司其責�。所以�,我們網(wǎng)絡(luò)管理員不希望其他的同伙,如防火墻管理人員能夠管理其不應該管理的DHCP服務器�。也就是說,我們要把DHCP服務器的管理員設(shè)置在最小范圍之內(nèi)��?�! ≡趯嶋H工作中�����,有些網(wǎng)絡(luò)管理員可能比價喜歡偷懶,沒有具體區(qū)分每個管理員的工作范圍;在帳戶上�����,也沒有區(qū)分彼此的
