局域网常见防护技巧
局域网中常见的防御技术
网络在不断的发展,局域网的应用在日常的办公与学习中显得尤为重要,在与时俱进的同时,各种局域网攻击层出不穷,据相关调查表明,局域网的80%攻击来自于内网,只有很少的一部分是来自于外网。也就是说,局域网的瘫痪或者故障基本上是由用户自己不在意而造成的,而所谓的黑客攻击只是在极少数情况下才会发生。
那么在内网的用户需要注意哪些问题呢?
第一:上网行为的约束,不在内网内访问恶意网站或者下载安装未通过杀毒软件扫描的软件。因为黑客喜欢使 用“钓鱼”的方式来使用户上钩,可能在所下载的文件内捆绑了病毒或者恶意插件等!
第二:保证移动设备接入的安全性,在接入U盘或者移动硬盘之类的外围设备时,应该确保该移动设备是否安全,最简单的方法是通过杀毒软件的扫描来确认移动设备的安全性!
第三:不私自接入无线AP,因为一般局域网内都有自己的DHCP服务器,如果无线AP设置不当,将会导致整个局域网的故障。如果自己接入无线AP,一定要确保以下几点:
1,关闭无线AP的DHCP功能,因为如果无线AP开启DHCP功能,局域网内就出现了两个DHCP服务器,其他用户可能就会从无线AP获取地址,这样会导致内网的混乱。
2,网线接在无线AP的LAN口,因为无线AP是直接从内网过来的,不需要再进行拨号。
第三:不私设IP地址,有些内网用户“洞悉”了局域网地址段,便自己在电脑上配置了相应的地址,在核心上未做相应的防御措施的情况下,私设IP地址也是可以上网的,但是这样的话很容易造成内网IP地址的冲突,特别是如果配置的IP地址和服务器或者打印机等的地址一样,会造成相应服务的中断。
第四:不以个人兴趣爱好在局域网内进行攻击测试或者安装网管软件,目前网络上流行的网管软件很多,如P2P终结者,天易成网管系统,Solarwinds,网络气象图-CactiEZ等,但一般的网管软件都是通过ARP解析的方式来扫描和控制内网的用户,使用不当的情况下,会在内网内扩散ARP攻击,使得整个局域网全是ARP报文,而且一旦用户电脑收到ARP攻击后,会认为网关(即去往外网的出口)就是产生ARP报文的“攻击者”,用户的数据流量就会从原来的网关转移到“攻击者”的电脑,但是“攻击者”的网关却是个“冒牌”的网关,所以数据流量出不去,也就是俗称的“断网了”,但实际上网络出口是正常的,只是ARP攻击使用户的数据流量找错了出口罢了。
针对这些常见的局域网故障,该怎么去防御呢?
第一:从物理上的防御,因为即使软件上做的再好,如果有人直接从物理上入手(
比如直接砸设备),这是防不慎防的(不过没那么无聊的人),所以在网络的管理上需要认真,比如核心设备机房未经批准不得随意进入,设备的各种登录密码要定期更换且要防止泄露,内网用户要约束自己的行为等。
第二:针对内网用户私接无线AP,导致内网DHCP服务器混乱,可以在核心或者接入上使用DHCP snooping技术,当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCPOffer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址;
第三:针对内网用户私设IP地址,导致IP地址冲突,可以在核心或者接入上使用IP Source Guard绑定功能,配置了该特性的端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。
IP Source Guard用于匹配报文的特征项包括:源IP地址、源MAC地址和VLAN标签。并且,可支持端口与如下特征项的组合:
IP、MAC、IP+MAC
IP+VLAN、MAC+VLAN、IP+MAC+VLAN
IP Source Guard按照绑定表项的产生方式分为静态绑定和动态绑定:
静态绑定:通过手工配置产生绑定表项来完成端口的控制功能,适用于局域网络中主机数较少或者需要为某台主机进行单独的绑定配置的情况;
动态绑定:通过自动获取DHCP Snooping或DHCP Relay的绑定表项来完成端口控制功能,适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况,可有效防止IP地址冲突、盗用等问题。其原理是每当DHCP为用户分配一条表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,会由于没有触发DHCP分配表项,导致动态绑定功能未增加相应的访问允许规则,使得该用户不能访问网络。
第四:针对内网的ARP攻击导致网络堵塞的问题,用户可以自己手动设置明确的网关,或者下载相应的ARP防火墙,如果发现ARP攻击,管理员可以手工禁用相应的MAC地址,当然这些都是权宜之计,最好的方法还是在核心或者接入上做防范ARP攻击的措施,如ARP-check,它需要第三方告诉交换机正确的IP和MAC,之后再形成IP+MAC的绑定表,然后对接收到 的ARP报文进行安全性检查(ARP-Check),对不符合绑定表的ARP报文采取
丢弃措施,从而解决ARP欺骗问题。
第五:完善的网络管理制度。
综上所诉,都是最常见的防局域网故障的办法,但即使办法再多,最主要的还是要靠用户的自觉性,局域网的安全性,不单单是靠管理员或者工程师,还得靠内网所有的用户来共同维护!