定位违规电脑
2016-03-13
引言:公司为实现内部资源共享,同时防止内部资料外流,组建了专供内部使用的资源网。未进行实名注册的用户和主机MAC地址未在防火墙上绑定的电脑无法访问局域网外资源。但网络监测部门发现我部局域网内某电脑连接了互联网。经排查得知,该用户使用手机连接电脑,并开启了USB上网功能,导致内部电脑连接了互联网。
公司为实现内部资源共享,同时防止内部资料外流,组建了专供内部使用的资源网。此网有专用的服务器、路由器、交换机、防火墙等网络设备,与互联网物理隔离。内部电脑要上资源网需要安装实名认证软件。为防止人员将内部电脑连接互联网,实名认证软件具有定时向资源网和互联网上监测终端发送主机名、IP地址、网卡MAC地址等主机信息的功能。未进行实名注册的用户和主机MAC地址未在防火墙上绑定的电脑无法访问局域网外资源,但可以访问局域网内部资源。
故障现象
某日,网络监测部门在互联网上通过监测终端,发现我部局域网内某电脑连接了互联网,并将该电脑的主机名、IP地址、MAC地址发给了我们,责成我部尽快将其找到,并上报相关情况。
故障排查
为了找到该电脑,我们首先查看了IP地址所在的具体部门。因为单位的局域网由8个C类地址组成,主机数量很多。为了便于管理,在建网初期,已为各部门划分了不同的地址段。通过比对查找,发现虽然此IP地址属于甲部门,但确实不是该部门的电脑,肯定有人违规使用了其他部门的地址。看来从IP地址已经无法找到问题电脑了。
由于要访问局域网外资源网信息的电脑都在防火墙上进行了绑定,并有实名登记,如果此电脑曾经通过路由器出局域网,肯定绑定了MAC地址。于是将该电脑的MAC地址与防火墙中的MAC地址绑定表进行对比,也未找到相同的,看来又一个希望破灭了。猜测该电脑可能还在线,Ping该电脑的IP地址,但未能Ping通,看来不在线。经过大家的讨论和分析,认为此电脑如果是我单位某部门的,那么与此电脑同批采购的电脑的MAC地址的前几位应该是相同的。因为同一批次同一品牌的电脑所用网卡很可能是同一厂家的,其前3组用来表示网络厂商标识的16进制数应该相同。
故障解决
用局域网查看工具软件查看局域网内所有在线电脑的IP地址和MAC地址,确实发现有两台电脑MAC地址的前几位与问题电脑相同。通过查看登记,这两台电脑也在同一个部门。于是我们直接前往该部门所在办公室,发现办公桌上有三台电脑,两台在用,一台关机。经过检查,问题电脑就是它。
原来,某人用USB线将手机与电脑相连,本来只想将手机内的照片传到电脑里,却开启了USB上网功能,导致内部电脑连接了互联网。
经验总结
问题电脑终于找到了,但问题还没有完,给我们留下了很多思索。为什么在局域网中定位一台内部电脑这么复杂?为什么会出现内部电脑外连事件呢?我想主要有三点启示:一是要规范内部电脑及其入网管理。每台投入使用的内部电脑都应登记在册,特别是MAC地址,并严格按划分的IP地址进行设置,不得使用非本部门的IP。二是在技术方面,将每台入网的内部电脑MAC地址与对应交换机端口进行绑定,在交换机上进行相关设置,使未绑定的电脑无法入网。三是进行安全保密教育。不得将手机、无线网卡等可上网设备与内部电脑互联,防止因误操作导致违规上网。