《DHCP安全问题及防范措施.doc》由会员分享,可在线阅读,更多相关《DHCP安全问题及防范措施.doc(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、DHCP安全问题及防范措施 摘 要:现代社会是一个被网络包围的社会,上网成为现代人的生活基本需求,网络也成为现代企业的基本生产工具之一。在这个大背景下,有限的IP网络地址资源分配成为制约网络信息发展的障碍,引入DHCP(动态主机配置协议)服务成为重要的解决手段,但是DHCP协议在安全上存在的漏洞使得在使用DHCP服务器为主机配置网络地址和参数时面临威胁。文章对这些DHCP安全问题和防范措施进行了探讨。 关键词:DHCP;安全问题;防范措施 中图分类号:TP393 文献标识码:A 文章编号:1006-8937(2014)8-0070-02 1 DHCP的安全问题 作为允许无盘工作站连接到网络并使
2、之自动获取一个IP地址的BOOTP协议的扩展之一,DHCP(动态主机分配协议)由两个基本部分组成,一部分是向网络主机传送专用的配置信息,一部分是给主机分配网络地址。DHCP技术很好解决了IP地址匮乏的现实问题,同时还解决了移动计算机迅速获取IP地址的技术难题,为网络信息的发展做出了重要的贡献。但是由于在设计DHCP时更多的考虑是网络连接的便利性,存在一定的安全漏洞,其中主要的有以下几种: DHCP在设计上不具有任何防御恶意主机的功能。随着带有DHCP功能家用路由器的大量使用,使用不当的话就可能将这些路由器转变为DHCP服务器,这些所谓的DHCP服务器可能对外发布虚假网关地址、IP地址池甚至是错
3、误的DNS服务器信息,如果这些非法DHCP指定的DNS服务器被蓄意修改,就有可能将用户引导到木马网站、虚假网站,盗窃用户账号和密码,威胁用户的信息安全。 DHCP与客户端相互之间没有认证机制,自身没有访问控制。由于DHCP可以方便的为网络中的新用户配置IP地址和参数,一个非法的客户可以通过伪装成合法的用户来申请IP地址和网络参数,避开网络安全检查,实现“盗用服务”,导致网内信息的泄露。另外,非法用户还可以通过“拒绝资源”攻击的方式,例如耗尽有效地址、CPU或者网络资源等,瘫痪蓄意攻击的网络。 DHCP在安全方面仅仅提供了有限的辅助工具来对分发的IP地址进行管理和维护,不具有将地址和用户联合起来
4、的复杂管理功能,使得网络管理员无法对IP冲突或者流氓IP地址进行有效、快速的认证和网络跟踪。 2 防范DHCP安全问题的防范措施 DHCP安全的威胁主要有三种,一是人为的无意失误,例如用户账号的无意识泄露;二是人为的恶意攻击,例如通过主动或者被动的攻击方式来获取网络信息的计算机犯罪行为等;三是网络软件的漏洞和“后门”。例如网络软件编程人员为了自便设置的“后门”被黑客察觉导致的信息泄露等。对DHCP安全问题的防范可以从以下三个方面来进行防范。 2.1 网络入侵检测 网络入侵检测(网络实时监控)技术利用专门的网络监控软件或者硬件对网络流量进行监控、分析、预警以及处理。有效的网络入侵检测部件通过对网
5、络上使用的各种网络协议进行分析,并和自身的网络入侵特征库进行对比,从而发现各种网络攻击行为。网络入侵检测部件对网络攻击行为的侧重点是发现,并不能预防,所以还存在一定的缺陷。 2.2 访问控制 通过对用户访问行为的控制,可以阻止未经允许的用户有意或者无意获取到被保护网段内的信息和数据。访问控制技术是网络安全防范保护的主要技术,它通过入网访问、网络权限设置、目录级以及属性控制等手段来决定谁可以访问系统以及系统的何种资源、对资源的使用方式等。 入网访问控制。入网访问控制是网络的第一层访问控制。一般分为三个步骤:登陆用户名的识别和验证、登陆用户的口令识别与验证、登陆用户账号的缺省限制检查。网络管理员通
6、过对用户账号的控制实现对用户访问特定网络的时间、方式的权限。 用户网络权限的控制。通过对用户或者用户组赋予一定的访问权限,例如对网络目录、子目录、文件以及其他资源的访问,对用户或者用户组进行分类管理,一是特殊用户,系统管理员;二是一般用户,按照实际需要分配操作权限;三是审计用户,对网络安全控制与资源使用进行审计的账户。 网络目录级的访问控制。网络通过控制用户对目录以及目录下的子目录和文件的创建、删除、修改、存取控制等权限,达到有效控制用户对服务器资源的访问权限,加强网络以及服务器的安全性。 网络属性的访问安全控制。属性安全控制是在权限安全控制上的进一步防范措施。属性设置可以覆盖任何已经指定的受
7、托着指派的有效权限。通过网络属性的安全控制可以保护重要目录和文件,避免文件或者目录的误删除、修改等。 网络服务器的访问控制。主要措施是设置口令密码对服务器控制台进行锁定,防止非法用户对重要信息和数据进行修改、删除、破坏;同时还可以设置服务器登陆的时间、方式以及服务器关闭的时间间隔。 网络的监测和锁定控制。对于非法用户试图进入网络的行为进行监测,并通过服务器发出图形、文字以及声音等形式的报警信息,对于非法访问的次数达到一定值是可以对该账号进行自动锁定。 2.3 DHCP与客户端的相互认证 DHCP协议在设计之初存在无法对消息和实体进行认证的缺陷,现在通过DHCP认证机制已经可以实现相互之间的认证
8、。DHCP消息认证机制在不改变原有DHCP协议的前提下,通过增加一个DHCP消息选项码来实现DHCP服务器与客户端之间的认证,另外,通过在选项码中定义不同的认证方法,使得消息认证的实用性、针对性更强,具有良好的扩展性。 在认证技术中采用的消息认证码,又称为MAC,它是通过假设通信双方共享密匙,并利用这个密匙通过不同的算法来生成一个固定长度的短数据块(MAC),发送消息的一方将消息和MAC一起发送给接收消息的一方,接收方用相同的密匙进行计算也得到一个MAC,通过两个MAC进行比对来验证消息的安全性。通过在DHCP服务器向客户主机分配IP地址时增加一个检查主机的MAC地址的过程,可以有效杜绝非法用
9、户使用内部DHCP服务器登陆的可能。 3 结 语 DHCP技术较好的解决了IP地址资源匮乏以及移动计算机上网的IP地址分配问题,但在方便的同时也给网络带来了一些安全问题。通过加强网络入侵检测、网络访问控制以及建立起DHCP服务器与客户端之间的认证系统可以有效防范DHCP技术缺陷所可能引发的安全问题。 参考文献: 1 黄菊.浅谈DHCP在局域网中如何自动获得IP地址J.中国电子商情(科技创新),2013,(17). 2 肖力.DHCP协议存在的缺点分析及优化方案研究J.计算机光盘软件与应用,2013,(6). 3 刘乃顺,张家源.DHCP服务及应用探讨J.有线电视技术,2013,(3).7题 )
10、防( 措,视线.探应服 家张 . 应件机算 案优分缺存 . ,0,技(商中 何中局 浅. :文。题的能陷术 防有系认端与服 起以控络、络强。题一来给也方在配地的机算以源地了解较技 语 。登器 部户法杜以过地 机查加时配主向务 过性安证对进 两通个得计行的用接方息接一 消方息, 块数度个成法不通个并密共双过它 为码证用采技。性的具更对性的消,证的定码过外证认户与 来选息 加通,的 有原在认 证的相可已机 过现的认实和法初设在 证互端与 .。锁行账该可一次问非,信形音字、发服通监为行进试法。定测的。隔的闭及方时陆服置可同、进和信对非防定制器码令是要。访务网。修误者件避和要护可全性网限权指着定经覆可
11、性施防的控限是控性制问访网。全器及网,权源务服控到限制控修除建件目子及目户控通制访目。户计进源制安对用三;配要照户般二理,殊一理类户或对问的及件、络例权访一赋用对通制络户。方时的问访现的账过理网检省的用登与别户用证别名登骤个般控问第是制入控网。等使源源种系及访谁定等性及目、权网网通技主范防网技问据信段保取无或用许未可控的访对制问 。缺定存,预不现重为络对测入网攻种现从行征侵的和析进协种用网通测侵络效及预、监行络硬者监网用术)络(侵测检网 。防来方以可范题 对。信导察黑“置了人编软如门和的网三行罪的信获式击者主过,恶人是泄的号例误的人种要主的 施范防全 范。跟和认速有进 或突法理络,功杂来合和将,护管址的发具辅了仅方在 。络攻痪,络或 址尽如方击”“以户法另泄的致”务现查安网避网和请申法合过户的一参和置户的为方可 由问访身机没互端客 。信用,号户盗网虚网引将可,意务 的 些如器 的是甚 、地假对可务 所,服 由这可就当用大的路功 着。的恶防有计在 :几有要其漏定存利的连考多 计于是贡重出的络,术技 获机动解时题的址 决术 。络分给是息置的送网分部成基个协机态 ,展的 地 获自络接作无许题问 -0 0 -0: :献 号类施范题安 词。探了范和安 些章胁时数址置为服 使得的上在 ,手要成务协主动 引障展息制配资络 限下个。具工的企为络求活人现上,围被个会要