DHCP安全問(wèn)題及防范措施--精選文檔

1、 DHCP安全問(wèn)題及防范措施 摘 要：現(xiàn)代社會(huì)是一個(gè)被網(wǎng)絡(luò)包圍的社會(huì)，上網(wǎng)成為現(xiàn)代人的生活基本需求，網(wǎng)絡(luò)也成為現(xiàn)代企業(yè)的基本生產(chǎn)工具之一。在這個(gè)大背景下，有限的IP網(wǎng)絡(luò)地址資源分配成為制約網(wǎng)絡(luò)信息發(fā)展的障礙，引入DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）服務(wù)成為重要的解決手段，但是DHCP協(xié)議在安全上存在的漏洞使得在使用DHCP服務(wù)器為主機(jī)配置網(wǎng)絡(luò)地址和參數(shù)時(shí)面臨威脅。文章對(duì)這些DHCP安全問(wèn)題和防范措施進(jìn)行了探討。 關(guān)鍵詞：DHCP；安全問(wèn)題；防范措施 中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-8937（2014）8-0070-02 1 DHCP的安全問(wèn)題 作為允許無(wú)盤(pán)工作站連接到網(wǎng)絡(luò)并

2、使之自動(dòng)獲取一個(gè)IP地址的BOOTP協(xié)議的擴(kuò)展之一，DHCP（動(dòng)態(tài)主機(jī)分配協(xié)議）由兩個(gè)基本部分組成，一部分是向網(wǎng)絡(luò)主機(jī)傳送專用的配置信息，一部分是給主機(jī)分配網(wǎng)絡(luò)地址。DHCP技術(shù)很好解決了IP地址匱乏的現(xiàn)實(shí)問(wèn)題，同時(shí)還解決了移動(dòng)計(jì)算機(jī)迅速獲取IP地址的技術(shù)難題，為網(wǎng)絡(luò)信息的發(fā)展做出了重要的貢獻(xiàn)。但是由于在設(shè)計(jì)DHCP時(shí)更多的考慮是網(wǎng)絡(luò)連接的便利性，存在一定的安全漏洞，其中主要的有以下幾種： DHCP在設(shè)計(jì)上不具有任何防御惡意主機(jī)的功能。隨著帶有DHCP功能家用路由器的大量使用，使用不當(dāng)?shù)脑捑涂赡軐⑦@些路由器轉(zhuǎn)變?yōu)镈HCP服務(wù)器，這些所謂的DHCP服務(wù)器可能對(duì)外發(fā)布虛假網(wǎng)關(guān)地址、IP地址池甚至是

3、錯(cuò)誤的DNS服務(wù)器信息，如果這些非法DHCP指定的DNS服務(wù)器被蓄意修改，就有可能將用戶引導(dǎo)到木馬網(wǎng)站、虛假網(wǎng)站，盜竊用戶賬號(hào)和密碼，威脅用戶的信息安全。 DHCP與客戶端相互之間沒(méi)有認(rèn)證機(jī)制，自身沒(méi)有訪問(wèn)控制。由于DHCP可以方便的為網(wǎng)絡(luò)中的新用戶配置IP地址和參數(shù)，一個(gè)非法的客戶可以通過(guò)偽裝成合法的用戶來(lái)申請(qǐng)IP地址和網(wǎng)絡(luò)參數(shù)，避開(kāi)網(wǎng)絡(luò)安全檢查，實(shí)現(xiàn)“盜用服務(wù)”，導(dǎo)致網(wǎng)內(nèi)信息的泄露。另外，非法用戶還可以通過(guò)“拒絕資源”攻擊的方式，例如耗盡有效地址、CPU或者網(wǎng)絡(luò)資源等，癱瘓蓄意攻擊的網(wǎng)絡(luò)。 DHCP在安全方面僅僅提供了有限的輔助工具來(lái)對(duì)分發(fā)的IP地址進(jìn)行管理和維護(hù)，不具有將地址和用戶聯(lián)合起

4、來(lái)的復(fù)雜管理功能，使得網(wǎng)絡(luò)管理員無(wú)法對(duì)IP沖突或者流氓IP地址進(jìn)行有效、快速的認(rèn)證和網(wǎng)絡(luò)跟蹤。 2 防范DHCP安全問(wèn)題的防范措施 DHCP安全的威脅主要有三種，一是人為的無(wú)意失誤，例如用戶賬號(hào)的無(wú)意識(shí)泄露；二是人為的惡意攻擊，例如通過(guò)主動(dòng)或者被動(dòng)的攻擊方式來(lái)獲取網(wǎng)絡(luò)信息的計(jì)算機(jī)犯罪行為等；三是網(wǎng)絡(luò)軟件的漏洞和“后門(mén)”。例如網(wǎng)絡(luò)軟件編程人員為了自便設(shè)置的“后門(mén)”被黑客察覺(jué)導(dǎo)致的信息泄露等。對(duì)DHCP安全問(wèn)題的防范可以從以下三個(gè)方面來(lái)進(jìn)行防范。 2.1 網(wǎng)絡(luò)入侵檢測(cè) 網(wǎng)絡(luò)入侵檢測(cè)（網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控）技術(shù)利用專門(mén)的網(wǎng)絡(luò)監(jiān)控軟件或者硬件對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控、分析、預(yù)警以及處理。有效的網(wǎng)絡(luò)入侵檢測(cè)部件通過(guò)對(duì)

5、網(wǎng)絡(luò)上使用的各種網(wǎng)絡(luò)協(xié)議進(jìn)行分析，并和自身的網(wǎng)絡(luò)入侵特征庫(kù)進(jìn)行對(duì)比，從而發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊行為。網(wǎng)絡(luò)入侵檢測(cè)部件對(duì)網(wǎng)絡(luò)攻擊行為的側(cè)重點(diǎn)是發(fā)現(xiàn)，并不能預(yù)防，所以還存在一定的缺陷。 2.2 訪問(wèn)控制 通過(guò)對(duì)用戶訪問(wèn)行為的控制，可以阻止未經(jīng)允許的用戶有意或者無(wú)意獲取到被保護(hù)網(wǎng)段內(nèi)的信息和數(shù)據(jù)。訪問(wèn)控制技術(shù)是網(wǎng)絡(luò)安全防范保護(hù)的主要技術(shù)，它通過(guò)入網(wǎng)訪問(wèn)、網(wǎng)絡(luò)權(quán)限設(shè)置、目錄級(jí)以及屬性控制等手段來(lái)決定誰(shuí)可以訪問(wèn)系統(tǒng)以及系統(tǒng)的何種資源、對(duì)資源的使用方式等。 入網(wǎng)訪問(wèn)控制。入網(wǎng)訪問(wèn)控制是網(wǎng)絡(luò)的第一層訪問(wèn)控制。一般分為三個(gè)步驟：登陸用戶名的識(shí)別和驗(yàn)證、登陸用戶的口令識(shí)別與驗(yàn)證、登陸用戶賬號(hào)的缺省限制檢查。網(wǎng)絡(luò)管理員

6、通過(guò)對(duì)用戶賬號(hào)的控制實(shí)現(xiàn)對(duì)用戶訪問(wèn)特定網(wǎng)絡(luò)的時(shí)間、方式的權(quán)限。 用戶網(wǎng)絡(luò)權(quán)限的控制。通過(guò)對(duì)用戶或者用戶組賦予一定的訪問(wèn)權(quán)限，例如對(duì)網(wǎng)絡(luò)目錄、子目錄、文件以及其他資源的訪問(wèn)，對(duì)用戶或者用戶組進(jìn)行分類管理，一是特殊用戶，系統(tǒng)管理員；二是一般用戶，按照實(shí)際需要分配操作權(quán)限；三是審計(jì)用戶，對(duì)網(wǎng)絡(luò)安全控制與資源使用進(jìn)行審計(jì)的賬戶。 網(wǎng)絡(luò)目錄級(jí)的訪問(wèn)控制。網(wǎng)絡(luò)通過(guò)控制用戶對(duì)目錄以及目錄下的子目錄和文件的創(chuàng)建、刪除、修改、存取控制等權(quán)限，達(dá)到有效控制用戶對(duì)服務(wù)器資源的訪問(wèn)權(quán)限，加強(qiáng)網(wǎng)絡(luò)以及服務(wù)器的安全性。 網(wǎng)絡(luò)屬性的訪問(wèn)安全控制。屬性安全控制是在權(quán)限安全控制上的進(jìn)一步防范措施。屬性設(shè)置可以覆蓋任何已經(jīng)指定的

7、受托著指派的有效權(quán)限。通過(guò)網(wǎng)絡(luò)屬性的安全控制可以保護(hù)重要目錄和文件，避免文件或者目錄的誤刪除、修改等。 網(wǎng)絡(luò)服務(wù)器的訪問(wèn)控制。主要措施是設(shè)置口令密碼對(duì)服務(wù)器控制臺(tái)進(jìn)行鎖定，防止非法用戶對(duì)重要信息和數(shù)據(jù)進(jìn)行修改、刪除、破壞；同時(shí)還可以設(shè)置服務(wù)器登陸的時(shí)間、方式以及服務(wù)器關(guān)閉的時(shí)間間隔。 網(wǎng)絡(luò)的監(jiān)測(cè)和鎖定控制。對(duì)于非法用戶試圖進(jìn)入網(wǎng)絡(luò)的行為進(jìn)行監(jiān)測(cè)，并通過(guò)服務(wù)器發(fā)出圖形、文字以及聲音等形式的報(bào)警信息，對(duì)于非法訪問(wèn)的次數(shù)達(dá)到一定值是可以對(duì)該賬號(hào)進(jìn)行自動(dòng)鎖定。 2.3 DHCP與客戶端的相互認(rèn)證 DHCP協(xié)議在設(shè)計(jì)之初存在無(wú)法對(duì)消息和實(shí)體進(jìn)行認(rèn)證的缺陷，現(xiàn)在通過(guò)DHCP認(rèn)證機(jī)制已經(jīng)可以實(shí)現(xiàn)相互之間的認(rèn)

8、證。DHCP消息認(rèn)證機(jī)制在不改變?cè)蠨HCP協(xié)議的前提下，通過(guò)增加一個(gè)DHCP消息選項(xiàng)碼來(lái)實(shí)現(xiàn)DHCP服務(wù)器與客戶端之間的認(rèn)證，另外，通過(guò)在選項(xiàng)碼中定義不同的認(rèn)證方法，使得消息認(rèn)證的實(shí)用性、針對(duì)性更強(qiáng)，具有良好的擴(kuò)展性。 在認(rèn)證技術(shù)中采用的消息認(rèn)證碼，又稱為MAC，它是通過(guò)假設(shè)通信雙方共享密匙，并利用這個(gè)密匙通過(guò)不同的算法來(lái)生成一個(gè)固定長(zhǎng)度的短數(shù)據(jù)塊（MAC），發(fā)送消息的一方將消息和MAC一起發(fā)送給接收消息的一方，接收方用相同的密匙進(jìn)行計(jì)算也得到一個(gè)MAC，通過(guò)兩個(gè)MAC進(jìn)行比對(duì)來(lái)驗(yàn)證消息的安全性。通過(guò)在DHCP服務(wù)器向客戶主機(jī)分配IP地址時(shí)增加一個(gè)檢查主機(jī)的MAC地址的過(guò)程，可以有效杜絕非法用戶使用內(nèi)部DHCP服務(wù)器登陸的可能。 3 結(jié) 語(yǔ) DHCP技術(shù)較好的解決了IP地址資源匱乏以及移動(dòng)計(jì)算機(jī)上網(wǎng)的IP地址分配問(wèn)題，但在方便的同時(shí)也給網(wǎng)絡(luò)帶來(lái)了一些安全問(wèn)題。通過(guò)加強(qiáng)網(wǎng)絡(luò)入侵檢測(cè)、網(wǎng)絡(luò)訪問(wèn)控制以及建立起DHCP服務(wù)器與客戶端之間的認(rèn)證系統(tǒng)可以有效防范DHCP技術(shù)缺陷所可能引發(fā)的安全問(wèn)題。 參考文獻(xiàn)： 1 黃菊.