思科DHCPSnooping技術(shù)的網(wǎng)絡(luò)安全管理方案

92196部隊(duì) 胡冬英

隨著網(wǎng)絡(luò)規(guī)模擴(kuò)大和拓?fù)浣Y(jié)構(gòu)的適當(dāng)調(diào)整，IP地址更多的是以動(dòng)態(tài)分配形式為主。不過實(shí)際生活中存在許多的IP地址盜用、ARP病毒攻擊等現(xiàn)象，究其原因就是用戶比較多、地理位置較為分散以及隨機(jī)性太強(qiáng)，進(jìn)而造成網(wǎng)絡(luò)安全管理工作的巨大困擾。本文結(jié)合思科DHCP Snooping(DHCP 監(jiān)聽)、DAI(ARP 檢測(cè))、IPSG(IP 源地址防護(hù))等技術(shù)探究合理的網(wǎng)絡(luò)安全管理方案。

21世紀(jì)以來，互聯(lián)網(wǎng)技術(shù)日益更新，在為人們帶來許多生活便利的同時(shí)，還隱藏著網(wǎng)絡(luò)安全的隱患。我們急需對(duì)網(wǎng)絡(luò)安全情況引起重視，在享受網(wǎng)絡(luò)的便利同時(shí)提高防范心理。那么，如何解決這一安全問題呢？要始終堅(jiān)持“安全第一，預(yù)防為主”的指導(dǎo)策略，做好前期防范工作和事中援救事宜，根據(jù)預(yù)測(cè)、分析與防治工作出具應(yīng)急預(yù)案，將可能出現(xiàn)的網(wǎng)絡(luò)安全問題的解決處理辦法的重點(diǎn)落在準(zhǔn)確性與便捷性上，提高應(yīng)急處置能力，最大限度地減少網(wǎng)絡(luò)安全危機(jī)的發(fā)生及其不良后果。

1 網(wǎng)絡(luò)安全日常管理

日常管理是網(wǎng)絡(luò)安全工作的基礎(chǔ)，改進(jìn)平時(shí)的管理，必須不斷增強(qiáng)安全防范意識(shí)：網(wǎng)絡(luò)管理員和所有員工都要高度重視網(wǎng)絡(luò)安全，時(shí)刻保持警覺，決不松懈，共同為網(wǎng)絡(luò)筑起一道“防護(hù)墻”。其日常管理有以下基本規(guī)則。

（1）要確保內(nèi)部局域網(wǎng)和外網(wǎng)嚴(yán)格執(zhí)行物理隔離。對(duì)局域網(wǎng)中的每一個(gè)用戶來說，在進(jìn)入到局域網(wǎng)之前，系統(tǒng)必須進(jìn)行補(bǔ)丁下載，并且在進(jìn)入到局域網(wǎng)之前對(duì)病毒進(jìn)行殺毒。每臺(tái)PC都要經(jīng)過實(shí)名認(rèn)證，并將IP地址和MAC地址相關(guān)聯(lián)。

（2）要安裝殺毒軟件：每個(gè)網(wǎng)絡(luò)服務(wù)器、電腦等設(shè)施對(duì)有關(guān)殺毒軟件的配備上是具有必要性的，使用者在固定周期內(nèi)進(jìn)行軟件升級(jí)和殺毒操作。在緊急情況下，客戶使用端口會(huì)被迫進(jìn)行升級(jí)與殺毒操作。

（3）要做好密碼設(shè)置工作：指定計(jì)算機(jī)設(shè)備，如局域網(wǎng)中連接外網(wǎng)的計(jì)算機(jī)服務(wù)器、門戶網(wǎng)、網(wǎng)絡(luò)服務(wù)器、遠(yuǎn)程服務(wù)器等，必須設(shè)置不同的登錄密碼，這一密碼最好的設(shè)置是由數(shù)字、26個(gè)英文字母及標(biāo)點(diǎn)符號(hào)構(gòu)成，長(zhǎng)度為12位數(shù)，定期刪除和更換設(shè)備的登錄密碼。

（4）對(duì)一些核心的設(shè)施和體系上盡量不使用相同的登入名和密碼，軟件的連接密碼和開機(jī)密碼也不能一樣。登錄名盡可能不使用admin。

（5）要做好數(shù)據(jù)備份工作：在一切正常的情況下，外網(wǎng)計(jì)算機(jī)不存儲(chǔ)關(guān)鍵數(shù)據(jù)，中國(guó)禁止存儲(chǔ)機(jī)密的商業(yè)數(shù)據(jù)和企業(yè)內(nèi)部參考數(shù)據(jù)。

（6）要保存并分析重要日志和記錄：需要不少于留存有90天的網(wǎng)絡(luò)使用行為管理、入侵檢測(cè)記錄。相關(guān)負(fù)責(zé)人員時(shí)常查閱及評(píng)析相關(guān)記錄，以確保網(wǎng)絡(luò)安全。

2 關(guān)鍵技術(shù)：Snooping

Snooping(DHCP 監(jiān)聽)屬于思科公司的一種具備DHCP安全特性的技術(shù)，主要應(yīng)用對(duì)象是交換機(jī)。待到交換機(jī)啟動(dòng)該特性之后，會(huì)對(duì)網(wǎng)絡(luò)之中存在的用戶DHCP報(bào)文予以監(jiān)聽，從而構(gòu)成DHCP監(jiān)聽綁定表。該表格主要是由報(bào)文檢測(cè)和IP源地址防護(hù)技術(shù)的運(yùn)用供應(yīng)重要信息。

指的是DHCP報(bào)文中存在的中繼代理信息選項(xiàng)，主要應(yīng)用在IPSG技術(shù)使用時(shí)。一旦DHCP客戶端將地址請(qǐng)求報(bào)文經(jīng)由路由器和交換機(jī)等插入Option82選項(xiàng)，Option82在內(nèi)容上涵蓋了請(qǐng)求地址主機(jī)的MAC地址、連接主機(jī)的端口號(hào)，假使DHCP Server對(duì)Option82予以支持，那么就能夠遵照Option82包在內(nèi)的全部信息都能夠分配到IP地址。假使DHCP Server對(duì)Option82不支持的話，那么就應(yīng)當(dāng)將DHCP Request包丟棄掉，進(jìn)而主機(jī)也就得不到IP地址了。

DHCP Server回應(yīng)報(bào)文經(jīng)過整個(gè)中繼設(shè)備的時(shí)候，中繼設(shè)備會(huì)對(duì)回應(yīng)包中存在的Option82 MAC地址和端口號(hào)是不是和最初插入的時(shí)候相一致，待到確認(rèn)無誤之后就將有關(guān)信息刪除掉，以此對(duì)回應(yīng)包轉(zhuǎn)發(fā)給對(duì)應(yīng)的請(qǐng)求客戶機(jī)。如圖1所示。

圖1 Option82作用

3 基于Snooping技術(shù)的網(wǎng)絡(luò)安全應(yīng)急措施

3.1 內(nèi)部局域網(wǎng)安全應(yīng)急措施

（1）網(wǎng)絡(luò)流量異常維護(hù)人員采取技術(shù)措施監(jiān)視網(wǎng)絡(luò)狀況，發(fā)現(xiàn)造成異常的原因。如果發(fā)現(xiàn)由內(nèi)部客戶終端設(shè)備引起的異常，應(yīng)立即通知客戶，并確保其安全。如異常產(chǎn)生的原因來自外部網(wǎng)絡(luò)，則對(duì)相關(guān)源網(wǎng)絡(luò)立即封禁，并立即執(zhí)行系統(tǒng)日志記錄工作。

2018年10月11日，在國(guó)家衛(wèi)生健康委醫(yī)政醫(yī)管局指導(dǎo)的第四季改善醫(yī)療服務(wù)全國(guó)醫(yī)院擂臺(tái)賽東北賽區(qū)決賽中，盛京醫(yī)院參選案例“基于醫(yī)聯(lián)體區(qū)域協(xié)同護(hù)理信息化平臺(tái)構(gòu)建延伸護(hù)理新模式”榮獲主題七延伸優(yōu)質(zhì)護(hù)理服務(wù)“十大價(jià)值案例”與“十大人氣案例”兩項(xiàng)大獎(jiǎng)。

（2）網(wǎng)絡(luò)病毒爆發(fā)

針對(duì)網(wǎng)絡(luò)病毒的大規(guī)模爆發(fā)，一旦得到確認(rèn)，就應(yīng)立即采取一定的有效措施，合理控制病毒的爆發(fā)類型。①局域網(wǎng)分地區(qū)暴發(fā)病毒當(dāng)局域網(wǎng)分地區(qū)爆發(fā)病毒時(shí)，應(yīng)盡早查明病毒來源，并斷開相應(yīng)子網(wǎng)絡(luò)，網(wǎng)管人員應(yīng)立即采取有效措施進(jìn)行處理（或通知相關(guān)企業(yè)，由網(wǎng)管人員跟蹤處理）。當(dāng)能確保無病毒的安全情況下，子網(wǎng)絡(luò)就能再次啟動(dòng)使用。②整個(gè)網(wǎng)絡(luò)出現(xiàn)病毒且局域網(wǎng)主要部分遭到破壞下，依照網(wǎng)管策略分析和明確病毒門類，然后切斷有關(guān)子網(wǎng)絡(luò)。在明確病毒出現(xiàn)較為危急的可能門類時(shí)，按照網(wǎng)絡(luò)的連接層更換設(shè)備慢慢縮小病毒源頭的門類，直到找到病毒的真正位置，清除病毒危害后，網(wǎng)絡(luò)才能重新啟動(dòng)。

（3）病毒處理

發(fā)現(xiàn)計(jì)算機(jī)設(shè)備如網(wǎng)絡(luò)服務(wù)器和無線路由器、服務(wù)器防火墻上的病毒狀況。第一步，在有可能的情況下中斷網(wǎng)絡(luò)服務(wù)器的本地連接，避免病毒在局域網(wǎng)外擴(kuò)散，關(guān)鍵網(wǎng)絡(luò)服務(wù)器立即打開備份數(shù)據(jù)機(jī)，確保業(yè)務(wù)流程的所有運(yùn)行正常。第二步，審查網(wǎng)絡(luò)信息安全設(shè)施的相關(guān)記錄，像入侵檢測(cè)記錄、IPS等，評(píng)析去除病毒源頭，了解病毒來自于哪臺(tái)服務(wù)器、IP，從局域網(wǎng)中切斷病毒源網(wǎng)絡(luò)和終端設(shè)備，從源頭切斷病毒源，另外，發(fā)現(xiàn)網(wǎng)絡(luò)病毒源時(shí)，應(yīng)立即關(guān)閉端口等措施來保護(hù)病毒。第三步是通知服務(wù)器用戶已經(jīng)感染了病毒，并立即將其清除的技術(shù)解決方案，具體指導(dǎo)用戶殺滅病毒。

發(fā)現(xiàn)病毒后，對(duì)內(nèi)網(wǎng)重要業(yè)務(wù)用機(jī)采取以下措施。第一步，中斷服務(wù)器的數(shù)據(jù)連接，立即打開備份數(shù)據(jù)機(jī)，確保所有業(yè)務(wù)流程正常運(yùn)行，報(bào)告部門負(fù)責(zé)人，通知病毒來源所在部門領(lǐng)導(dǎo)。病毒檢測(cè)、檢查后系統(tǒng)執(zhí)行補(bǔ)丁下載升級(jí)等（或具體指導(dǎo)）。第二步，數(shù)據(jù)分析系統(tǒng)的損壞程度，盡可能修復(fù)并保存重要數(shù)據(jù)信息。第三步，如果檢查后不能修復(fù)系統(tǒng)，如果備份信息出現(xiàn)關(guān)鍵數(shù)據(jù)情況下，需要再次安裝計(jì)算機(jī)操作系統(tǒng)及系統(tǒng)軟件等。最后，審查系統(tǒng)記錄，進(jìn)行了解了解等，找出病毒來源，采取一定有效措施，避免再中毒。

首先發(fā)現(xiàn)病毒，立即中斷服務(wù)器數(shù)據(jù)連接，避免病毒外泄。其次審查明確病毒傳染緣由，使用有關(guān)技術(shù)策略，避免病毒又一次的加重。最后，網(wǎng)管人員出具把病毒消除的策略施展計(jì)劃，全面開展病毒檢測(cè)，采取相應(yīng)的技術(shù)措施，防止再中毒。

3.2 外網(wǎng)安全應(yīng)急措施

（1）外部局域網(wǎng)被攻擊

如網(wǎng)絡(luò)行為管控、WEB危險(xiǎn)預(yù)防、WEB網(wǎng)絡(luò)服務(wù)器等受攻擊，造成無法正常運(yùn)轉(zhuǎn)，應(yīng)在第一時(shí)間采取相應(yīng)的應(yīng)對(duì)措施，并向部門主管報(bào)告，立即開展系統(tǒng)日志記錄工作。

若信息被惡意篡改，則有關(guān)人員應(yīng)首先切斷受攻擊機(jī)械設(shè)備的物理數(shù)據(jù)連接（如果沒有任何不良影響，則必須在整個(gè)維修服務(wù)項(xiàng)目過程中應(yīng)用到網(wǎng)絡(luò)上，可連續(xù)連接數(shù)據(jù)），分析記錄事件日志的攻擊惡性事件，調(diào)整安全設(shè)置?；谙到y(tǒng)軟件記錄系統(tǒng)日志和事件日志，分析攻擊源，并與相關(guān)部門負(fù)責(zé)人進(jìn)行協(xié)作。

篡改信息后，立即切斷相關(guān)信息的在線連接，盡快進(jìn)行數(shù)據(jù)修復(fù)，以創(chuàng)建相關(guān)記錄查找原因。根據(jù)總體安全標(biāo)準(zhǔn)，由于其他不確定性因素造成的網(wǎng)絡(luò)癱瘓和信息篡改問題，可以結(jié)合實(shí)際情況相對(duì)地得到解決。

對(duì)應(yīng)用攻擊的系統(tǒng)脆弱性、攻擊方式、全過程進(jìn)行分析，并對(duì)攻擊的詳細(xì)地址進(jìn)行分析，對(duì)系統(tǒng)軟件進(jìn)行破壞程度評(píng)估，對(duì)系統(tǒng)備份和數(shù)據(jù)信息進(jìn)行技術(shù)處理，存儲(chǔ)病毒事件日志，有針地性地面向網(wǎng)站薄弱環(huán)節(jié)進(jìn)行維護(hù)，閉上攻擊端口號(hào)，按照注冊(cè)文件設(shè)計(jì)其顯示項(xiàng)目，使用專門的殺毒軟件，改進(jìn)計(jì)算機(jī)設(shè)備和系統(tǒng)設(shè)置等。在病毒完全清除后，對(duì)發(fā)生的惡性事件進(jìn)行徹底處理，發(fā)現(xiàn)機(jī)械設(shè)備配置、系統(tǒng)設(shè)置發(fā)生變化時(shí)，對(duì)局域網(wǎng)中備份數(shù)據(jù)進(jìn)行新配置，并對(duì)計(jì)算機(jī)設(shè)備進(jìn)行相對(duì)無線路由器、服務(wù)器防火墻、網(wǎng)絡(luò)服務(wù)器等的修復(fù)，必要時(shí)對(duì)數(shù)據(jù)庫(kù)進(jìn)行查詢，在備份數(shù)據(jù)生成時(shí)，對(duì)設(shè)備進(jìn)行校驗(yàn)，并重新安裝系統(tǒng)等等。

（2）發(fā)生違反法律法規(guī)等安全事件

當(dāng)學(xué)習(xí)發(fā)生泄露、企業(yè)外部網(wǎng)絡(luò)疏導(dǎo)攻擊等惡性事件發(fā)生時(shí)，應(yīng)立即向主管人員報(bào)告，并由公司主管部門進(jìn)行技術(shù)檢查和正確定位。當(dāng)襲攻擊還在繼續(xù)時(shí)，必要的話管理員應(yīng)先切斷企業(yè)對(duì)外的總?cè)肟?，?duì)數(shù)據(jù)信息泄漏器進(jìn)行數(shù)據(jù)連接切斷等操作，查明攻擊事件造成的危害程度（或分析可能造成的危害程度），采取相應(yīng)的應(yīng)急措施。系統(tǒng)軟件中保存和出示網(wǎng)絡(luò)日志、網(wǎng)絡(luò)管理系統(tǒng)日志等，全力協(xié)助公安部門進(jìn)行調(diào)查。

結(jié)語(yǔ)：本文結(jié)合思科DHCP Snooping(DHCP 監(jiān)聽)、DAI(ARP檢測(cè))、IPSG(IP 源地址防護(hù))等技術(shù)探究合理的網(wǎng)絡(luò)安全管理方案。網(wǎng)絡(luò)管理員在對(duì)網(wǎng)絡(luò)和信息進(jìn)行安全管理時(shí)，必須始終堅(jiān)持安全理念，首先要確保觀念健全的安全管理方案，根據(jù)預(yù)測(cè)、分析與防治工作出具應(yīng)急預(yù)案，將可能出現(xiàn)的網(wǎng)絡(luò)安全問題的解決處理辦法的重點(diǎn)落在準(zhǔn)確性與便捷性上，提高應(yīng)急處置能力；要嚴(yán)格堅(jiān)持人防、物防、技防共同執(zhí)行的準(zhǔn)則，確保能有效地應(yīng)對(duì)各項(xiàng)緊急事項(xiàng)，使得網(wǎng)絡(luò)管理正常進(jìn)行。