IP地址管理模式
2018-01-30杨尉冷小洁栾卫平穆芮
杨尉+冷小洁+栾卫平+穆芮
摘要:在威海供电公司诸多局域网安全问题中,令网络管理员感到最头痛的问题就是IP地址的管理;怎样有效地管理整个网络系统的中IP地址,地址过多和怎么有效的分配这些IP地址,成为困扰在信息化建设中的问题。如果没有有效的管理,可能导致网络可用性和服务质量的下降,甚至网络的崩溃。本文将详细阐述目前存在的几种IP管理模式特点,并介绍应用新技术进行IP维护、安全准入管理模式以及利用交换机内部集成的安全特性,采用创新的方式在局域网上有效地进行IP地址管理。
【关键词】局域网 静态IP 地址 DHCP 智能IP 地址 管理 IP地址推送
在网络规划、IP地址分配设计方面,一个好的IP地址方案不仅可以减少网络负荷,还能为以后网络扩展打下良好的基础。
随着威海供电公司的网络规模逐步发展,在内网网络中目前也部署了较为完善的各种网络安全设备。在而在用户终端IP地址管理方面,日前采用传统的手工静态方式进行IP地址分配,IP地址管理较为繁琐,IP地址管理审计及访客IP授权控制方面更多是通过人工管理。
随着网络规模的扩大,而IP资源有限,像IP冲突,ARP干扰、新机器入网等问题会造成IP维护成本和维护难度的增加,有时候会导致整个网络瘫痪,因此IP地址的实名管理和准入控制,成为影响网络运行的一个非常重要的因素。
因此,如何维护一个稳固的人与IP的关系,实现智能实名制的IP分配管理审计是本文关注的主要问题。
1 几种IP管理模式的特点
1.1 手工管理模式
传统手工管理IP模式为网络管理员通过手工维护Excel表格或地址登记薄,利用简单PING命令来查询验证某IP地址是否有效使用,新分配IP后需手工更新Excel表格或地址登记薄。在接入端需手工配置静态IP地址。
这种IP管理模式,存在以下管理缺陷。
1.1.1 无法有效地避免IP地址冲突和非法设备接入
威海供电公司的内部网络都被设计成一个公用设施,其结果就是使今天大部分网络端口对于内部都处于“开放”状态。“开放”的网络和共享的资源可以很轻易地得到访问,只需要将一台非法电脑插入一个网络接口,按图索骥设置一个IP地址,即可开始使用网络资源.致使IP地址冲突成为随时会引爆的炸弹。而此种IP管理方式对于重点业务IP的保护手段几乎为零。
CSI/FBI计算机犯罪与安全调查显示,信息失窃已经成为当前最主要的犯罪。在造成经济损失的所有攻击中,有75%都是来自于内部。
在局域网内任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址,改动后IP地址在局域网中运行时可能出现以下情况:
(1)非法IP地址:即IP地址不在规划的局域网范围内;
(2)重复IP地址:与已经分配且正在局域网运行的合法IP地址发生资源冲突,使合法用户无法上网;
(3)冒用合法用户IP地址:当合法用户不在线时,冒用其IP地址联网,使合法用户权益受到侵害;
(4)非法用户带来安全问题。无论是有意或无意地使用非法IP地址都可能会给信息系统带来严重的后果,如重复的IP地址会干扰、破坏网络服务器和网络设备正常运行,甚至导致网络不稳定,从而影响正常业务;拥有被非法使用的IP地址所拥有的特权,威胁网络安全;利用欺骗性的IP地址进行网络攻击,如富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP 3次握手会话对服务器进行颠覆的一种攻击方式,一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。
1.1.2 IP/MAC跟踪和准确定位功能欠缺
一旦出现IP地址被非法使用、IP地址冲突,或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量,为查找这些IP地址源头,一般采用如下步骤:
(1)确定出现问题IP地址;
(2)查看当前网络设备ARP表,从中获得网卡MAC地址;
(3)检查交换机MAC地址列表,确定机器位置。
这个过程往往要花费大量时间才能够定位机器具体连接的物理端口,而对于伪造的源IP地址要查出是从哪台机器产生的就更加困难了。如果不能及时对故障源准确地定位、迅速地隔离,将会导致严重后果,即使在网络恢复正常后隐患依然存在。
1.1.3 IP地址回收问题
显而易见,全手工管理IP地址的方式,会出现IP地址的回收问题。如果不通知网络管理员,科室自行撤销或报废网内设备,必然会出现IP地址不能及时回收而新增节点无lP可用的尴尬境况,使得有限的网络资源不能得到合理配置利用。
1.1.4 管理繁琐
为防止非法使用IP地址,增强网络安全,最常见的方法是采用静态ARP命令捆绑IP地址和MAC地址,从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行访问,同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。但这种方法由于要事先收集所有机器MAC地址及相应IP地址,然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表,不仅工作量繁重,而且日后大量繁琐的維护和管理问题也令人十分头疼。
1.2 DHCP分配lP地址的管理模式
由于威海供电公司信息系统不断扩大,手工分配IP地址的模式已经不能满足实际业务需要,从而出现DHCP动态分配IP地址的模式。这种方式可能带来的网络问题有:
(1)对于每位工作人员使用的电脑指定单- IP地址,要满足相关部门对威海供电公司要有完善的IP/MAC地址的分配、绑定及定位审计等措施的要求,采用DHCP分配将会随机分配IP地址,不能满足上述的要求;endprint
(2)由于采用非专用DHCP服务器,在业务高峰期间会出现CPU使用过高和系统挂断的情况,或出现用户大量增长,过量DHCP请求导致响应不及时和服务中断的现象;
(3)由于某些网络设备的硬件限制,对于租约到期的IP地址无法自动释放;记录IP冲突的表格不能自动清除;
(4)传统DHCP功能没有外来用户授权和认证安全机制,无法防止恶意伪造MAC地址,会导致IP地址的耗尽;
(5)网络扩容工程,对于网络管理员来说,过程相对繁琐;
(6)此管理模式同样存在准确定位非法接入设备的较大检索工作量;
(7)安全性能差,易被攻击(恶意IP地址请求、DDOS攻击等)。
l.3
通过交换机管理IP地址模式
利用交换机内部集成的安全特性,采用创新方式在局域网内有效地进行IP地址管理模式。仅仅基于认证(如IEEE 802.lx)和访问控制列表(ACL,Access Control Lists)的安全措施是无法防止上文中提到的来自网络第2层即数据链路层的安全攻击,这些攻击包括:MAC地址的泛滥攻击、DHCP服务器欺骗攻击、ARP欺骗、IP/MAC地址欺骗等。
可以通过利用交换机内部集成的安全特性,组合运用和部署Port Securiry(端口安全)、DHCP Snooping(DHCP侦听)、Dynamic ARP Inspection(动态ARP检测)以及IP Source Guard(IP源地址保护)技术,防止MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口,防止IP地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
通过配置交换机的上述特征,不仅解决一些典型攻击和病毒的防范问题,也为传统IP地址管理提供了新的思路,解决以往利用DHCP服务器管理客户端IP地址会遇到的问题:
(1)使用静态指定IP地址造成的IP地址冲突:
(2)非法使用或盗用IP地址;
(3)配置非法DHCP服务器;
(4)不容易定位IP地址和具体交换机端口对应表;
(5)使用静态地址的重要服务器和计算机,可以进行静态绑定,等等。
但是,在日常工作中,对交换机进行如此功能繁复的设置,除考验网络管理员技术水平,同时也往往需要借助网络公司提供技术支持,一旦出现网络问题,网络管理员还需与技术支持取得联系,响应时间也往往得不到保障。
1.4 新一代智能IP安全管理模式
随着新技术发展,新一代的智能IP地址安全管理可以实现局域网内IP自动分配管理和安全准入,同时也可以集成交换机的安全特性,如DHCP中继、DHCP Snooping (DHCP侦听)、Dynamic ARP Inspection(动态ARP检测)以及IP Source Guard (IP源地址保护)技术,其管理模式具有以下特点:
(1)实现高性能DHCP服务,实现IP/MAC地址的集中管理规划;
(2)实现IP地址的推送功能,实现IP/MAC的集中绑定;
(3)可以支持IPV4/IPV6双协议;
(4)满足网络配置的冗余备份和负载均衡的能力;
(5)实时IP/MAC地址的授权管理,网络资源的实时分析,加强设备接入时的安全控制,未授权设备需要接入许可,可以全方位保护业务网内重要站点的IP;
(6) IP地址数据实时同步管理,及时对废弃的IP地址进行回收和再利用;
(7)与交换机DHCP SNOOPING和DAI技术整合,防止手工配置IP地址,防止非法DHCP,预防ARP病毒;
(8)无须更改现有网络结构,无须安装任何客户端软件。
相对于配置交换机,此种IP管理模式对于网络管理员来说,技术实现的难度大大降低,工作效率能够得到充分的提升。
2 结论
IP管理,經历了从第1代手工静态IP地址的分配管理模式,到第2代DHCP动态分配手工管理模式,逐渐被第3代智能IP安全管理模式所代替,既能够节省大部分网络地址的维护工作量,避免因手工操作导致的故障,又可以提高快速响应能力,减少维护成本,提高整体网络的安全性能。
通过本系统的建设,可以为威海供电公司的相关业务系统提供安全、可控、强化的IP地址支撑管理平台。endprint
