摘要:IP地址的治理问题是网络治理人员最头痛的问题之一。文章从具体实践出发,深入分析了IP地址治理的特点,提出了一套完整的IP地址治理方法。该方法综合运用了治理措施和技术措施,杜绝了IP地址的非法使用,大大减轻了网络治理人员的负担。
要害词:局域网;IP地址;治理;非法使用
Problem of Illegal Use of IP Address in a LAN
Abstract:IP address control is one of the problems causing network supervisors bad headache. For practical use, the author, after deeply analyzing the features of IP address management and combining administrative and technical measures, suggests a complete set of method to prevent IP addresses from being illegally used.
Key Words:LAN(Local area network);IP address;management;illegal use
0 引言
在大多数局域网的运行治理工作中,网络治理员负责治理用户IP地址的分配,用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。但在Windows操作系统中,终端用户可以自由修改IP地址的设置,从而产生了IP地址非法使用的问题。改动后的IP地址在局域网中运行时可能出现的情况如下。
a. 非法的IP地址即IP地址不在规划的局域网范围内。
b.重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网。
c.冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害。
1 IP地址非法使用的动机
IP地址的非法使用问题,不是普通的技术问题,而是一个治理问题。只有找到其存在的理由,根除其存在的基础,才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况:
a. 干扰、破坏网络服务器和网络设备的正常运行。
b. 企图拥有被非法使用的IP地址所拥有的特权。最典型的,就是因特网访问权限。
c. 因机器重新安装、临时部署等原因,无意中造成的非法使用。
2 非法使用方法
2.1 静态修改IP地址配置 用户在配置TCP/IP选项时,使用的不是治理员分配的IP地址,就形成了IP地址的非法使用。
2.2 同时修改MAC地址和IP地址
非法用户还有可能将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址。他们可以使用答应自定义MAC地址的网卡或使用软件修改MAC地址。
2.3 IP电子欺骗
IP电子欺骗是伪造某台主机IP地址的技术。它通常需要编程来实现。通过使用SOCKET编程,发送带有假冒的源IP地址的IP数据包
3 治理员的技术手段
3.1 静态ARP表的绑定
对于静态修改IP地址的问题,可以采用静态路由技术加以解决,即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表,这是由ARP协议生成并维护的。配置路由器时,可以指定静态的ARP表,路由器会根据静态的ARP表检查数据包,假如不能对应,则不进行数据转发。
该方法可以阻止非法用户在不修改MAC地址的情况下,冒用IP地址进行跨网段的访问。
3.2 交换机端口绑定
借助交换机的端口—MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可治理的交换机中都有端口—MAC地址绑定功能。使用交换机提供的端口地址过滤模式,即交换机的每一个端口只具有答应合法MAC地址的主机通过该端口访问网络,任何来自其它MAC地址的主机的访问将被拒绝。
3.3 VLAN划分
严格来说,VLAN划分不属于技术手段,而是治理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN,设置路由策略,可以有效阻止非法用户冒用其他网段的IP地址的企图。
3.4 与应用层的身份认证相结合
避免采用针对IP地址的直接授权的治理模式,综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制,构成多层次的严密的安全体系,可以有效降低IP地址非法使用所带来的危害。
4 治理建议
a.普通用户明白非法使用IP地址所产生的危害和处罚措施,制定并实施严格的IP地址治理制度,包括:IP地址申请和发放流程,IP地址变更流程,临时IP地址分配流程,机器MAC地址登记治理,IP地址非法使用的处罚制度。
b.非法使用IP的行为,总是内部网络少数人的行为。因此,对于已经建成的网络,治理员要根据当前存在的问题,有针对性的运用技术措施,重点阻止个别用户的非法行为。
c. 划分VLAN时,兼顾可治理性和易用性。在不增加网络复杂性的前提下,充分运用VLAN的划分手段,将权限相近的用户划分到同一个VLAN内,弱化非法使用同网段IP地址所带来的利益。
d. 部署网络治理系统。网络治理软件可以实现静态ARP表绑定的初始化操作,避免网络治理员的大量重复性劳动。网络治理软件的日常监视和日志功能,可以及时有效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为,帮助网络治理员查找网络故障的根源。同时,网络治理员还可以借助网管系统,很方便的治理网络交换机,针对个别问题突出的用户,进行交换机端口绑定操作,禁止其修改MAC地址。
e. 与应用层的身份认证相结合,建立完整严密的多层次的安全认证体系,弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似,用户名和口令也属于轻易盗用的资源,建议有条件的单位采用指纹鼠标等先进的身份认证系统,强化重要系统的安全强度。
5 结束语
内部人员非法使用IP地址,并不是为了进行侵入和破坏,而是为了谋取某些特定的权限和利益。网络治理员除有法律手段和技术手段,还拥有各种内部治理手段。假如单纯使用技术手段来防范IP地址的非法使用,必然产生高昂的系统投资成本和人员开支。因此,只有综合运用治理手段和技术手段,来处理IP地址非法使用问题,才能实现高可靠性的系统运行与低成本的治理维护的统一。
