Philip Asked: 2012-07-20 04:08:59 +0800 CST2012-07-20 04:08:59 +0800 CST 2012-07-20 04:08:59 +0800 CST 仅信任 DHCP 分配的 IP 地址 772 我管理着一个相当小的网络(150 台机器左右)。我们为网络上的所有机器设置了一个 DHCP 服务器,并在整个范围内设置了一个禁区,这样只有已知的机器才能获得 IP 地址,从而获得网络访问权限。 但是,这种做法是希望通过默默无闻来获得安全性。 有可能通过插入具有自己配置的 IP 地址的外部设备,其他机器可以进入网络。 有什么办法可以防止这种情况发生吗?有没有办法让网络上的机器忽略来自未被 DHCP 分配地址的计算机的流量? dhcp ip-address 5 个回答 Voted Best Answer MichelZ 2012-07-20T04:14:36+08:002012-07-20T04:14:36+08:00 你应该开始看802.1x,这是交换机级别的“网络身份验证”。基本上,每台插入的机器都必须先进行自我验证,然后才能进入网络。 在这里查看教程 symcbean 2012-07-20T04:15:37+08:002012-07-20T04:15:37+08:00 简短的回答是否定的。 根据您的 DHCP 服务器,您应该能够通过 mac 地址限制分配 - 但嗅探网络上已有的 mac 地址并更改特定机器上的地址是微不足道的。但这仍然比直接设置 IP 地址更费力。 如果您想保护您的网络,请使用安全协议和适当的身份验证。 Chopper3 2012-07-20T04:17:05+08:002012-07-20T04:17:05+08:00 有可能通过插入具有自己配置的 IP 地址的外部设备,其他机器可以进入网络。 是的,很容易。 有什么办法可以防止这种情况发生吗?有没有办法让网络上的机器忽略来自未被 DHCP 分配地址的计算机的流量? 嗯,是的,您可以在中间设置防火墙以拒绝除允许的 IP 范围之外的所有内容。 那就是说还有其他方法可以做到这一点,您可以根据 MAC 地址列表设置防火墙,这比 IP 稍微安全一些,但不多,如果它对您来说真的很重要,那么您可以采用某种形式的加密证书驱动解决方案例如在接受的设备和网络内部之间设置 VPN。这是一个非常常用的场景,尤其是在拥有开放 wifi 网络且远非尖端的组织中。 HopelessN00b 2012-07-20T06:55:36+08:002012-07-20T06:55:36+08:00 听起来您正在寻找的是所谓的网络访问控制或网络访问保护软件。特别是如果802.1x按照 MichelZ 的建议在开关级别进行身份验证不足以满足您的需求。(不过,在四处寻找 NAC 解决方案之前,我会考虑设置 RADIUS 服务器或 w/e。) Cisco 有一个版本,Microsoft 有一个版本(在 Server 2008 中称为 NAP),许多第三方供应商和计算机安全/AV 公司也是如此。[完全公开,我曾经在一家生产这种产品的软件开发店工作。] 话虽如此,安全就是围绕风险进行成本/收益分析。确实,“理想”的安全系统是一种破坏成本高于其保护的系统,而不是“坚不可摧”的系统(除非您保护的是“无价”的东西,当然,不可穿透性将是理想的)。 因此,在购买(或什至实施“免费”)安全解决方案之前,您应该考虑您的时间和/或金钱投资将获得什么样的回报。(或者,如果你幸运的话,也许决定权在你的老板或其他人身上。)就像为了保护几百美元而购买 10,000 美元的保险箱没有意义一样,它可能不值得你投资时间或金钱来建立适当的 NAC/NAP 安全性,如果风险很低和/或您保护的数据不是特别有价值。 mulaz 2012-07-20T04:15:11+08:002012-07-20T04:15:11+08:00 这也是默默无闻的安全。攻击者可以侦听广播,从一些“好”计算机获取有效的 MAC 地址,并在它被关闭后,使用“好”mac 从 DHCP 获取有效 IP 地址。 你想要什么,可以通过一些自定义软件来实现,这些软件会检查 DHCP 并相应地改变防火墙规则,或者通过在每台机器上安装 mac 过滤器,并在每次添加新框时更新“好”mac 列表(大管理员的 PITA)。 如果您管理过支持 802.1x 的交换机,我建议您调查一下,或者设置端口安全性,从而只允许来自特定 MAC 的端口流量。
你应该开始看
802.1x,这是交换机级别的“网络身份验证”。基本上,每台插入的机器都必须先进行自我验证,然后才能进入网络。在这里查看教程
简短的回答是否定的。
根据您的 DHCP 服务器,您应该能够通过 mac 地址限制分配 - 但嗅探网络上已有的 mac 地址并更改特定机器上的地址是微不足道的。但这仍然比直接设置 IP 地址更费力。
如果您想保护您的网络,请使用安全协议和适当的身份验证。
是的,很容易。
嗯,是的,您可以在中间设置防火墙以拒绝除允许的 IP 范围之外的所有内容。
那就是说还有其他方法可以做到这一点,您可以根据 MAC 地址列表设置防火墙,这比 IP 稍微安全一些,但不多,如果它对您来说真的很重要,那么您可以采用某种形式的加密证书驱动解决方案例如在接受的设备和网络内部之间设置 VPN。这是一个非常常用的场景,尤其是在拥有开放 wifi 网络且远非尖端的组织中。
听起来您正在寻找的是所谓的网络访问控制或网络访问保护软件。特别是如果
802.1x按照 MichelZ 的建议在开关级别进行身份验证不足以满足您的需求。(不过,在四处寻找 NAC 解决方案之前,我会考虑设置 RADIUS 服务器或 w/e。)Cisco 有一个版本,Microsoft 有一个版本(在 Server 2008 中称为 NAP),许多第三方供应商和计算机安全/AV 公司也是如此。[完全公开,我曾经在一家生产这种产品的软件开发店工作。]
话虽如此,安全就是围绕风险进行成本/收益分析。确实,“理想”的安全系统是一种破坏成本高于其保护的系统,而不是“坚不可摧”的系统(除非您保护的是“无价”的东西,当然,不可穿透性将是理想的)。
因此,在购买(或什至实施“免费”)安全解决方案之前,您应该考虑您的时间和/或金钱投资将获得什么样的回报。(或者,如果你幸运的话,也许决定权在你的老板或其他人身上。)就像为了保护几百美元而购买 10,000 美元的保险箱没有意义一样,它可能不值得你投资时间或金钱来建立适当的 NAC/NAP 安全性,如果风险很低和/或您保护的数据不是特别有价值。
这也是默默无闻的安全。攻击者可以侦听广播,从一些“好”计算机获取有效的 MAC 地址,并在它被关闭后,使用“好”mac 从 DHCP 获取有效 IP 地址。
你想要什么,可以通过一些自定义软件来实现,这些软件会检查 DHCP 并相应地改变防火墙规则,或者通过在每台机器上安装 mac 过滤器,并在每次添加新框时更新“好”mac 列表(大管理员的 PITA)。
如果您管理过支持 802.1x 的交换机,我建议您调查一下,或者设置端口安全性,从而只允许来自特定 MAC 的端口流量。