我管理一个相当小的网络(150 台左右)。我们设置了一台 DHCP 服务器,为网络上的所有机器预留 IP 地址,并在整个范围内设置了一个禁区,这样只有已知的机器才能获得 IP 地址,从而获得网络访问权限。
但这种做法是希望通过隐秘来实现安全。
通过插入具有自己配置的 IP 地址的外部设备,其他机器就可以接入网络。
有什么方法可以防止这种情况发生吗? 有什么方法可以让网络上的机器忽略来自尚未通过 DHCP 分配地址的计算机的流量吗?
答案1
您应该开始查看802.1x,这是交换机级别的“网络身份验证”。基本上,每台插入的机器都必须先进行身份验证,然后才允许其接入网络。
看一看这里查看教程
答案2
简短的回答是“不”。
根据您的 DHCP 服务器,您应该能够通过 mac 地址限制分配 - 但嗅探网络上已有的 mac 地址并更改特定机器上的地址很简单。但这仍然比直接设置 IP 地址更费力。
如果您想保护您的网络,请使用安全协议和适当的身份验证。
答案3
通过插入具有自己配置的 IP 地址的外部设备,其他机器就可以接入网络。
是的,非常容易。
有什么方法可以防止这种情况发生吗? 有什么方法可以让网络上的机器忽略来自尚未通过 DHCP 分配地址的计算机的流量吗?
是的,您可以在中间设置防火墙,以拒绝除允许的 IP 范围之外的所有 IP 范围。
话虽如此,还有其他方法可以做到这一点,您可以根据 MAC 地址列表设置防火墙,这比 IP 稍微安全一些,但也不太多,如果它对您来说真的很重要,那么您可以采取某种形式的加密证书驱动解决方案,例如在接受的设备和网络内部之间设置 VPN。这是一种非常常用的场景,尤其是在拥有开放 wifi 网络的组织中,而且远非尖端技术。
答案4
这也是一种隐蔽的安全。攻击者可以监听广播,从某些“好”计算机获取有效的 MAC 地址,并在关闭计算机后,使用“好”的 MAC 从 DHCP 获取有效的 IP 地址。
您的愿望可以通过一些自定义软件来实现,这些软件会检查 DHCP 并相应地更改防火墙规则,或者在每台机器上安装一个 mac 过滤器,并在每次添加新框时更新“好的”mac 列表(对于管理员来说,这是一个很大的麻烦)。
如果您管理了支持 802.1x 的交换机,我建议您研究一下,或者设置端口安全性,从而仅允许来自特定 MAC 的端口流量。