資源描述:
《DHCP服務(wù)器的安全設(shè)計(jì).doc》由會(huì)員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�����。
1��、DHCP服務(wù)器的安全設(shè)計(jì) 我們都知道���,IP地址是企業(yè)局域網(wǎng)主機(jī)進(jìn)行相互通信的基礎(chǔ)�。若主機(jī)沒(méi)有IP地址的話��,則這臺(tái)主機(jī)是不能夠上網(wǎng)的����。而DHCP服務(wù)器則是掌管著管理企業(yè)局域網(wǎng)主機(jī)IP地址的重任,若其出現(xiàn)安全性漏洞的話�����,則對(duì)于企業(yè)整個(gè)局域網(wǎng)的打擊是致命的���,會(huì)導(dǎo)致企業(yè)整個(gè)網(wǎng)絡(luò)的癱瘓���?���! ∷?���,網(wǎng)絡(luò)管理員在部署DHCP服務(wù)器的同時(shí),還需要關(guān)注一下�����,DHCP服務(wù)器的安全性問(wèn)題��。具體的來(lái)說(shuō)���,我們可以從以下幾個(gè)方面入手���,做好DHCP服務(wù)器的安全性管理?����! 〉谝徊剑汗芾砗霉芾韱T帳戶����。 DHCP服務(wù)器安全性設(shè)計(jì)的第一步就是要做好管理員帳戶的安全措施�。因?yàn)闊o(wú)論是黑客,還是木馬或者病
2����、毒,其若沒(méi)有取得管理員權(quán)限的話��,則其破壞性也是非常有限的����。所以,網(wǎng)絡(luò)管理員第一步要做就是看看該如何保護(hù)好這個(gè)管理員帳戶�����?����! 榇?���,不同的DHCP服務(wù)器角色有不同的保護(hù)措施�����?��! ∪缥覀兪窃诼酚善魃喜捎肈HCP服務(wù)的,則可以通過(guò)IP地址等限制�。因?yàn)槁酚善鞯脑挘覀円话愣纪ㄟ^(guò)遠(yuǎn)程來(lái)管理DHCP服務(wù)器�����,如通過(guò)TELENT或者SSH協(xié)議遠(yuǎn)程連接到服務(wù)器上進(jìn)行管理�����。為此�,我們可以指定一臺(tái)主機(jī),只有這臺(tái)主機(jī)才可以連接到路由器上進(jìn)行DHCP服務(wù)器的管理���。為此���,我們可以在路由器的防火墻上配置,只允許某個(gè)IP地址或者M(jìn)AC地址的主機(jī)才能夠連上來(lái)進(jìn)行DHCP服務(wù)管理。通過(guò)這種方式�,再加上
3���、用戶的口令�,則可以比較好的保障管理員帳戶的安全性�。從而不讓攻擊者有機(jī)可乘,破壞DHCP服務(wù)器的安全與穩(wěn)定�。 如DHCP服務(wù)器是部署在微軟的操作系統(tǒng)上����,并且在域環(huán)境中,則管理起來(lái)更加的方便���。如我們可以在活動(dòng)目錄用戶和計(jì)算機(jī)中���,可以建立一個(gè)用戶,專門(mén)用來(lái)管理DHCP服務(wù)器����。用戶新建立之后,則可以把這個(gè)用戶指定為管理員角色�,讓其有權(quán)限管理DHCP服務(wù)器。一般來(lái)說(shuō),筆者是建議各個(gè)服務(wù)器的話���,采用不同的管理員帳戶���。這主要是避免某個(gè)管理員帳戶與口令被泄漏之后,其只影響某個(gè)特定的服務(wù)�,對(duì)其他服務(wù)不會(huì)有什么不良的影響。另外����,對(duì)于建立在微軟操作系統(tǒng)的DHCP服務(wù)器來(lái)說(shuō),也可以實(shí)現(xiàn)遠(yuǎn)
4����、程管理。為此��,我們也可以利用微軟操作系統(tǒng)自帶的安全策略�,指定只有哪些主機(jī)可以連接到DHCP服務(wù)器上進(jìn)行相關(guān)的管理動(dòng)作?����! 】傊?�,攻擊者要攻擊企業(yè)的DHCP服務(wù)器的話,第一步是收集相關(guān)的信息然后進(jìn)行分析;第二步就是設(shè)法取得管理員權(quán)限的帳戶與口令��。若我們能夠保護(hù)好管理員帳戶與口令的話�,則非法攻擊者將拿我們沒(méi)辦法?����! 〉诙剑阂私釪HCP服務(wù)器的運(yùn)行情況����?���! ∽龊霉芾韱T帳戶的安全措施之后,網(wǎng)絡(luò)管理員接下去要做的就是了解DHCP服務(wù)器的運(yùn)行狀況;以及在DHCP出現(xiàn)故障之前到底發(fā)生了什么事情���,或者出現(xiàn)過(guò)哪些異常的情況���。要做到這一點(diǎn),最好的辦法就是查看DHCP服務(wù)器的日志�����。不
5、過(guò)��,有些DHCP服務(wù)器默認(rèn)情況下��,是沒(méi)有開(kāi)啟DHCP服務(wù)器的審核記錄日志的����。若要啟用這個(gè)功能,往往需要我們手工開(kāi)啟��。否則的話���,DHCP服務(wù)器的一些運(yùn)行信息��,包括一些異常信息是無(wú)法被服務(wù)器的日志所記錄的����?���! ∠旅婀P者以微軟操作系統(tǒng)自帶的DHCP服務(wù)為例,談?wù)勅绾伍_(kāi)啟這個(gè)審核記錄的功能����?! ∥覀?cè)诠芾砉ぞ咧?�,找到DHCP服務(wù)器管理器����,打開(kāi)DHCP服務(wù)器控制臺(tái)窗口��,右鍵單擊我們的服務(wù)器���,選擇屬性。在彈出的對(duì)話框中�����,切換到常規(guī)標(biāo)簽���,看看啟用DHCP審核記錄選項(xiàng)是否被選中�。若選中的話����,則DHCP服務(wù)器的一些運(yùn)行信息,就會(huì)被保存在系統(tǒng)的日志中�。否則的話��,就不會(huì)記錄DHCP服務(wù)器
6�����、的運(yùn)行狀態(tài)��,我們也就不能夠知道DHCP服務(wù)器到底出了什么事情���。 不過(guò)有些時(shí)候�,黑客光臨了DHCP服務(wù)器之后,往往會(huì)想法設(shè)法的隱藏自己的蹤跡��。其中有一項(xiàng)措施就是修改或者刪除日志文件�����。為此���,我們?yōu)榱朔乐共环ü粽叻欠ㄐ薷娜罩疚募?���,我們需要更改這個(gè)日志文件的默認(rèn)路徑�。在同一個(gè)對(duì)話框中�����,我們可以看到一個(gè)數(shù)據(jù)庫(kù)路徑的選項(xiàng)����。后面的內(nèi)容就是這個(gè)日志默認(rèn)的保存地點(diǎn)��。網(wǎng)絡(luò)管理員可以根據(jù)實(shí)際情況����,選擇合適的日志保存路徑?�! ×硗?�,這個(gè)日志也是我們?nèi)蘸驞HCP服務(wù)器出現(xiàn)故障后排除錯(cuò)誤的一個(gè)重要基礎(chǔ)數(shù)據(jù)�。所以����,我們還需要對(duì)這個(gè)日志文件作好相關(guān)的備份工作。否則的話�����,當(dāng)這個(gè)日志意外丟失后,我
7����、們就很對(duì)查清DHCP服務(wù)器的故障了。還有就是最好能夠?qū)@個(gè)日志進(jìn)行異地備份���,如此的話��,即使DHCP服務(wù)器全部癱瘓了����,我們也可以從異地備份的日志中看到DHCP服務(wù)器最后做了哪些動(dòng)作�����,才會(huì)導(dǎo)致這個(gè)服務(wù)器故障���?���! 〉谌剑涸O(shè)置管理員組�����。 在大型網(wǎng)絡(luò)中��,往往不只一個(gè)網(wǎng)絡(luò)管理員��。各個(gè)網(wǎng)絡(luò)管理員分工合作�����,各司其責(zé)��。所以��,我們網(wǎng)絡(luò)管理員不希望其他的同伙��,如防火墻管理人員能夠管理其不應(yīng)該管理的DHCP服務(wù)器����。也就是說(shuō),我們要把DHCP服務(wù)器的管理員設(shè)置在最小范圍之內(nèi)����?�! ≡趯?shí)際工作中��,有些網(wǎng)絡(luò)管理員可能比價(jià)喜歡偷懶,沒(méi)有具體區(qū)分每個(gè)管理員的工作范圍;在帳戶上���,也沒(méi)有區(qū)分彼此的
