在日益龐大的局域網(wǎng)絡(luò)中����,IP地址的規(guī)劃和管理是一個(gè)非常復(fù)雜和艱巨的工作。如何有效的規(guī)范IP地址的使用��,根本杜絕盜用IP的現(xiàn)象呢�?這要從IP地址是如何被盜用的說(shuō)起。
★IP地址是如何被盜用的�����?
靜態(tài)修改IP地址 :由于IP地址是一個(gè)邏輯地址����,是一個(gè)需要用戶設(shè)置的值,因此無(wú)法限制用戶對(duì)于IP地址的靜態(tài)修改�,除非使用DHCP服務(wù)器分配IP地址,但又會(huì)帶來(lái)其他管理問(wèn)題���。
成對(duì)修改IP-MAC地址:通過(guò)一些兼容網(wǎng)卡廠商推出的配置程序�����,可以對(duì)IP地址和MAC地址進(jìn)行修改��,使其合法化�����。另外�,對(duì)于那些MAC地址不能直接修改的網(wǎng)卡來(lái)說(shuō),盜用者采用軟件的辦法來(lái)修改MAC地址�����,即通過(guò)工具軟件或修改Windows注冊(cè)表的方法達(dá)到欺騙上層網(wǎng)絡(luò)軟件的目的�。比如非常流行的工具軟件“超級(jí)兔子魔法設(shè)置”從4.9版本開始支持網(wǎng)卡MAC地址的修改(如圖1)。
★交換機(jī)幫你防盜用
在國(guó)內(nèi)外專業(yè)媒體上����,我們了解到國(guó)內(nèi)實(shí)達(dá)銳捷網(wǎng)絡(luò)S-Radius認(rèn)證計(jì)費(fèi)系統(tǒng)可以很好解決這一問(wèn)題,由此我們測(cè)試了實(shí)達(dá)銳捷網(wǎng)絡(luò)的安全接入交換機(jī)和S-Radius認(rèn)證計(jì)費(fèi)系統(tǒng)�����,幾點(diǎn)體會(huì)�����,和大家共享�。
靜態(tài)IP沖突解決方案——IP和賬號(hào)綁定
1. 用戶進(jìn)行802.1X認(rèn)證前不是指定分配的IP,而濫用其他IP:認(rèn)證前:因?yàn)檫@個(gè)時(shí)候�����,用戶還沒(méi)有通過(guò)認(rèn)證��,該用戶與網(wǎng)絡(luò)是隔離的�����,其指定的IP不會(huì)與別的用戶IP沖突�����;試圖認(rèn)證:當(dāng)用戶使用賬號(hào)密碼試圖通過(guò)認(rèn)證���,因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號(hào)和其IP做了綁定�,認(rèn)證服務(wù)器對(duì)其不予通過(guò)認(rèn)證���,從而同樣不會(huì)造成IP沖突����。
2. 用戶使用正確的賬號(hào)/IP通過(guò)認(rèn)證后���,再更改IP
測(cè)試當(dāng)中實(shí)達(dá)銳捷網(wǎng)絡(luò)S-RADIUS客戶端軟件能夠檢測(cè)到IP的更改�����,即刻剔除用戶下線���,同時(shí)發(fā)送計(jì)費(fèi)結(jié)束報(bào)文���,結(jié)束計(jì)費(fèi),從而不會(huì)造成IP沖突�。
動(dòng)態(tài)IP沖突解決方案——客戶IP屬性校驗(yàn)
1. 用戶進(jìn)行802.1X認(rèn)證前不用動(dòng)態(tài)獲得IP,而是靜態(tài)指定:1)認(rèn)證前:因?yàn)檫@個(gè)時(shí)候���,用戶還沒(méi)有通過(guò)認(rèn)證��,該用戶與網(wǎng)絡(luò)是隔離的����,其指定的IP不會(huì)與別的用戶IP沖突�;2)試圖認(rèn)證:當(dāng)用戶使用賬號(hào)密碼試圖通過(guò)認(rèn)證,因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號(hào)的IP屬性是動(dòng)態(tài)IP���,認(rèn)證報(bào)文中該用戶的IP屬性確是靜態(tài)IP�,則認(rèn)證服務(wù)器對(duì)其不予通過(guò)認(rèn)證��,從而同樣不會(huì)造成IP沖突。
2. 用戶使用正確的賬號(hào)����,動(dòng)態(tài)IP設(shè)置通過(guò)認(rèn)證后,再更改IP�����。
我們測(cè)試當(dāng)中同樣能夠檢測(cè)到IP的更改�,剔除用戶下線����,從而不會(huì)造成IP沖突。另外測(cè)試當(dāng)中我們還發(fā)現(xiàn)實(shí)達(dá)的S-RADIUS認(rèn)證計(jì)費(fèi)系統(tǒng)可實(shí)現(xiàn)用戶賬號(hào)�、MAC地址、IP地址���、VLAN ID�、交換機(jī)IP��、交換機(jī)端口之間的智能多元綁定的功能��,從而大大提高了網(wǎng)絡(luò)的安全系數(shù)(如圖2)����。
根據(jù)我們的實(shí)驗(yàn)室測(cè)試和實(shí)地網(wǎng)絡(luò)運(yùn)行測(cè)試�����,我們發(fā)現(xiàn)通過(guò)實(shí)達(dá)網(wǎng)絡(luò)科技有限公司這套解決方案可以較好的解決局域網(wǎng)內(nèi)IP地址盜用的問(wèn)題��。
------------------------------- · 相關(guān)文檔瀏覽 · --------------------------------------------------------------------- · 熱門文檔瀏覽 · -------------------------------------
