企業區域網內DHCP伺服器的安全設計

2022-03-29 20:42:21 字數 1910 閱讀 7848

我們都知道,ip位址是企業區域網主機進行相互通訊的基礎。若主機沒有ip位址的話,則這台主機是不能夠上網的。而dhcp伺服器則是掌管著管理企業區域網主機ip位址的重任,若其出現安全性漏洞的話,則對於企業整個區域網的打擊是致命的,會導致企業整個網路的癱瘓。

所以,網路管理員在部署dhcp伺服器的同時,還需要關注一下,dhcp伺服器的安全性問題。具體的來說,我們可以從以下幾個方面入手,做好dhcp伺服器的安全性管理。

第一步:管理好管理員帳戶。

dhcp伺服器安全性設計的第一步就是要做好管理員帳戶的安全措施。因為無論是黑客,還是木馬或者病毒,其若沒有取得管理員許可權的話,則其破壞性也是非常有限的。所以,網路管理員第一步要做就是看看該如何保護好這個管理員帳戶。

為此,不同的dhcp伺服器角色有不同的保護措施。

如我們是在路由器上採用dhcp服務的,則可以通過ip位址等限制。因為路由器的話,我們一般都通過遠端來管理dhcp伺服器,如通過telent或者ssh協議遠端連線到伺服器上進行管理。為此,我們可以指定一台主機,只有這台主機才可以連線到路由器上進行dhcp伺服器的管理。為此,我們可以在路由器的防火牆上配置,只允許某個ip位址或者mac位址的主機才能夠連上來進行dhcp服務管理。通過這種方式,再加上使用者的口令,則可以比較好的保障管理員帳戶的安全性。從而不讓攻擊者有機可乘,破壞dhcp伺服器的安全與穩定。

如dhcp伺服器是部署在微軟的作業系統上,並且在域環境中,則管理起來更加的方便。如我們可以在活動目錄使用者和計算機中,可以建立乙個使用者,專門用來管理dhcp伺服器。使用者新建立之後,則可以把這個使用者指定為管理員角色,讓其有許可權管理dhcp伺服器。一般來說,筆者是建議各個伺服器的話,採用不同的管理員帳戶。這主要是避免某個管理員帳戶與口令被洩漏之後,其只影響某個特定的服務,對其他服務不會有什麼不良的影響。另外,對於建立在微軟作業系統的dhcp伺服器來說,也可以實現遠端管理。為此,我們也可以利用微軟作業系統自帶的安全策略,指定只有哪些主機可以連線到dhcp伺服器上進行相關的管理動作。

總之,攻擊者要攻擊企業的dhcp伺服器的話,第一步是收集相關的資訊然後進行分析;第二步就是設法取得管理員許可權的帳戶與口令。若我們能夠保護好管理員帳戶與口令的話,則非法攻擊者將拿我們沒辦法。

第二步:要了解dhcp伺服器的運**況。

做好管理員帳戶的安全措施之後,網路管理員接下去要做的就是了解dhcp伺服器的執行狀況;以及在dhcp出現故障之前到底發生了什麼事情,或者出現過哪些異常的情況。要做到這一點,最好的辦法就是檢視dhcp伺服器的日誌。不過,有些dhcp伺服器預設情況下,是沒有開啟dhcp伺服器的審核記錄日誌的。若要啟用這個功能,往往需要我們手工開啟。否則的話,dhcp伺服器的一些執行資訊,包括一些異常資訊是無法被伺服器的日誌所記錄的。

下面筆者以微軟作業系統自帶的dhcp服務為例,談談如何開啟這個「審核記錄」的功能。

我們在管理工具中,找到dhcp伺服器管理器,開啟dhcp伺服器控制台視窗,右鍵單擊我們的伺服器,選擇屬性。在彈出的對話方塊中,切換到「常規」標籤,看看「啟用dhcp審核記錄」選項是否被選中。若選中的話,則dhcp伺服器的一些執行資訊,就會被儲存在系統的日誌中。否則的話,就不會記錄dhcp伺服器的執行狀態,我們也就不能夠知道dhcp伺服器到底出了什麼事情。

不過有些時候,黑客光臨了dhcp伺服器之後,往往會想法設法的隱藏自己的蹤跡。其中有一項措施就是修改或者刪除日誌檔案。為此,我們為了防止不法攻擊者非法修改日誌檔案,我們需要更改這個日誌檔案的預設路徑。在同乙個對話方塊中,我們可以看到乙個「資料庫路徑」的選項。後面的內容就是這個日誌預設的儲存地點。網路管理員可以根據實際情況,選擇合適的日誌儲存路徑。

另外,這個日誌也是我們日後dhcp伺服器出現故障後排除錯誤的乙個重要基礎資料。所以,我們還需要對這個日誌檔案作好相關的備份工作。否則的話,當這個日誌意外丟失後,我們就很對查清dhcp伺服器的故障了。還有就是最好能夠對這個日誌進行異地備份,如此的話,即使dhcp伺服器全部癱瘓了,我們也可以從異地備份的日誌中看到dhcp伺服器最後做了哪些動作,才會導致這個伺服器故障。

區域網內伺服器

這篇文章主要介紹了wampserver配置 允許外部訪問 phpmyadmin設定為輸入使用者名稱密碼才可登入等 需要的朋友可以參考下 對於很多不熟悉php環境安裝的朋友來說,用整合環境可以更快的上手,更方便的搭建php的執行環境,但是,wamp的整合環境僅僅是將底層基礎工作做好了,有些個別關鍵的配...

區域網內訪問tomcat伺服器

由於對jbpm才來沒接觸過,所以在昨天向其他同事介紹jbpm的時候,講得不是很好。廢話少說,還是切入正題吧!本來是想在同事的筆記本上安裝jbpm所需軟體,以便在會議室上演示例項,如tomcat mysql ant,但同事說tomcat和mysql就不要了,遠端訪問ricki的電腦。這個想法是不錯,不...

iptables對區域網內FTP伺服器的設定

以前遇到過一次,因為怕麻煩沒去解決,今天有機會試了一下,這樣客戶端在區域網內也沒有關係了。閘道器設定 modprobe ip nat ftp modprobe ip conntrack modprobe ip conntrack ftp iptables t nat a prerouting i e...