随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。 在大多数局域网的运行管理工作中, 网络管理员负责管理用户IP地址的分配, 用户通过正确地注册后才被认为是合法用户。 在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。 但在Windows操作系统中, 终端用户可以自由修改IP地址的设置, 从而产生了IP地址非法使用的问题。 改动后的IP地址在局域网中运行时可能出现的情况如下。 a. 非法的IP地址即IP地址不在规划的局域网范围内。 b.重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突, 使合法用户无法上网。 c.冒用合法用户的IP地址当合法用户不在线时, 冒用其IP地址联网, 使合法用户的权益受到侵害。 1 IP地址非法使用的动机? IP地址的非法使用问题, 不是普通的技术问题, 而是一个管理问题。 只有找到其存在的理由, 根除其存在的基础, 才可能从根本上杜绝其发生。 分析非法使用者的动机有以下几种情况: a. 干扰、破坏网络服务器和网络设备的正常运行。 b. 企图拥有被非法使用的IP地址所拥有的特权。 最典型的, 就是因特网访问权限。 c. 因机器重新安装、临时部署等原因, 无意中造成的非法使用。 2 非法使用方法 2.1 静态修改IP地址配置 用户在配置TCP/IP选项时, 使用的不是管理员分配的IP地址, 就形成了IP地址的非法使用。 2.2 同时修改MAC地址和IP地址 非法用户还有可能将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址。 他们可以使用允许自定义MAC地址的网卡或使用软件修改MAC地址。 2.3 IP电子欺骗 IP电子欺骗是伪造某台主机IP地址的技术。 它通常需要编程来实现。 通过使用SOCKET编程, 发送带有假冒的源IP地址的IP数据包 3 管理员的技术手段 3.1 静态ARP表的绑定 对于静态修改IP地址的问题, 可以采用静态路由技术加以解决, 即IP-MAC地址绑定。 因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。 IP地址只是在网际之间寻址使用的。 因此作为网关的路由器上有IP-MAC的动态对应表, 这是由ARP协议生成并维护的。 配置路由器时, 可以指定静态的ARP表, 路由器会根据静态的ARP表检查数据包, 如果不能对应, 则不进行数据转发。 该方法可以阻止非法用户在不修改MAC地址的情况下, 冒用IP地址进行跨网段的访问。 3.2 交换机端口绑定 借助交换机的端口—MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。 可管理的交换机中都有端口—MAC地址绑定功能。 使用交换机提供的端口地址过滤模式, 即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络, 任何来自其它MAC地址的主机的访问将被拒绝。 3.3 VLAN划分 严格来说, VLAN划分不属于技术手段, 而是管理与技术结合的手段。 将具有相近权限的IP地址划分到同一个VLAN, 设置路由策略, 可以有效阻止非法用户冒用其他网段的IP地址的企图。 3.4 与应用层的身份认证相结合 避免采用针对IP地址的直接授权的管理模式, 综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制, 构成多层次的严密的安全体系, 可以有效降低IP地址非法使用所带来的危害。 4 管理建议 a.普通用户明白非法使用IP地址所产生的危害和处罚措施, 制定并实施严格的IP地址管理制度, 包括:IP地址申请和发放流程, IP地址变更流程, 临时IP地址分配流程, 机器MAC地址登记管理, IP地址非法使用的处罚制度。 b.非法使用IP的行为, 总是内部网络少数人的行为。 因此, 对于已经建成的网络, 管理员要根据当前存在的问题, 有针对性的运用技术措施, 重点阻止个别用户的非法行为。 c. 划分VLAN时, 兼顾可管理性和易用性。 在不增加网络复杂性的前提下, 充分运用VLAN的划分手段, 将权限相近的用户划分到同一个VLAN内, 弱化非法使用同网段IP地址所带来的利益。 d. 部署网络管理系统。 网络管理软件可以实现静态ARP表绑定的初始化操作, 避免网络管理员的大量重复性劳动。 网络管理软件的日常监视和日志功能, 可以及时有效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为, 帮助网络管理员查找网络故障的根源。 同时, 网络管理员还可以借助网管系统, 很方便的管理网络交换机, 针对个别问题突出的用户, 进行交换机端口绑定操作, 禁止其修改MAC地址。 e. 与应用层的身份认证相结合, 建立完整严密的多层次的安全认证体系, 弱化IP地址在身份认证体系中的重要性。 与IP地址非法使用的问题类似, 用户名和口令也属于容易盗用的资源, 建议有条件的单位采用指纹鼠标等先进的身份认证系统, 强化重要系统的安全强度。 5 结束语 内部人员非法使用IP地址, 并不是为了进行侵入和破坏, 而是为了谋取某些特定的权限和利益。 网络管理员除有法律手段和技术手段, 还拥有各种内部管理手段。 如果单纯使用技术手段来防范IP地址的非法使用, 必然产生高昂的系统投资成本和人员开支。 因此, 只有综合运用管理手段和技术手段, 来处理IP地址非法使用问题, 才能实现高可靠性的系统运行与低成本的管理维护的统一。
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。
|