所以,網絡管理員在部署DHCP服務器的同時,還需要關注一下,DHCP服務器的安全性問題。具體的來說,我們可以從以下幾個方面入手,做好DHCP服務器的安全性管理。
第一步:管理好管理員帳戶。
DHCP服務器安全性設計的第一步就是要做好管理員帳戶的安全措施。因為無論是黑客,還是木馬或者病毒,其若沒有取得管理員權限的話,則其破壞性也是非常有限的。所以,網絡管理員第一步要做就是看看該如何保護好這個管理員帳戶。
為此,不同的DHCP服務器角色有不同的保護措施。
如我們是在路由器上采用DHCP服務的,則可以通過IP地址等限制。因為路由器的話,我們一般都通過遠程來管理DHCP服務器,如通過TELENT或者SSH協議遠程連接到服務器上進行管理。為此,我們可以指定一臺主機,只有這臺主機才可以連接到路由器上進行DHCP服務器的管理。為此,我們可以在路由器的防火墻上配置,只允許某個IP地址或者MAC地址的主機才能夠連上來進行DHCP服務管理。通過這種方式,再加上用戶的口令,則可以比較好的保障管理員帳戶的安全性。從而不讓攻擊者有機可乘,破壞DHCP服務器的安全與穩定。
如DHCP服務器是部署在微軟的操作系統上,并且在域環境中,則管理起來更加的方便。如我們可以在活動目錄用戶和計算機中,可以建立一個用戶,專門用來管理DHCP服務器。用戶新建立之后,則可以把這個用戶指定為管理員角色,讓其有權限管理DHCP服務器。一般來說,筆者是建議各個服務器的話,采用不同的管理員帳戶。這主要是避免某個管理員帳戶與口令被泄漏之后,其只影響某個特定的服務,對其他服務不會有什么不良的影響。另外,對于建立在微軟操作系統的DHCP服務器來說,也可以實現遠程管理。為此,我們也可以利用微軟操作系統自帶的安全策略,指定只有哪些主機可以連接到DHCP服務器上進行相關的管理動作。
總之,攻擊者要攻擊企業的DHCP服務器的話,第一步是收集相關的信息然后進行分析;第二步就是設法取得管理員權限的帳戶與口令。若我們能夠保護好管理員帳戶與口令的話,則非法攻擊者將拿我們沒辦法。
第二步:要了解DHCP服務器的運行情況。
做好管理員帳戶的安全措施之后,網絡管理員接下去要做的就是了解DHCP服務器的運行狀況;以及在DHCP出現故障之前到底發生了什么事情,或者出現過哪些異常的情況。要做到這一點,最好的辦法就是查看DHCP服務器的日志。不過,有些DHCP服務器默認情況下,是沒有開啟DHCP服務器的審核記錄日志的。若要啟用這個功能,往往需要我們手工開啟。否則的話,DHCP服務器的一些運行信息,包括一些異常信息是無法被服務器的日志所記錄的。
下面筆者以微軟操作系統自帶的DHCP服務為例,談談如何開啟這個“審核記錄”的功能。
我們在管理工具中,找到DHCP服務器管理器,打開DHCP服務器控制臺窗口,右鍵單擊我們的服務器,選擇屬性。在彈出的對話框中,切換到“常規”標簽,看看“啟用DHCP審核記錄”選項是否被選中。若選中的話,則DHCP服務器的一些運行信息,就會被保存在系統的日志中。否則的話,就不會記錄DHCP服務器的運行狀態,我們也就不能夠知道DHCP服務器到底出了什么事情。
不過有些時候,黑客光臨了DHCP服務器之后,往往會想法設法的隱藏自己的蹤跡。其中有一項措施就是修改或者刪除日志文件。為此,我們為了防止不法攻擊者非法修改日志文件,我們需要更改這個日志文件的默認路徑。在同一個對話框中,我們可以看到一個“數據庫路徑”的選項。后面的內容就是這個日志默認的保存地點。網絡管理員可以根據實際情況,選擇合適的日志保存路徑。
另外,這個日志也是我們日后DHCP服務器出現故障后排除錯誤的一個重要基礎數據。所以,我們還需要對這個日志文件作好相關的備份工作。否則的話,當這個日志意外丟失后,我們就很對查清DHCP服務器的故障了。還有就是最好能夠對這個日志進行異地備份,如此的話,即使DHCP服務器全部癱瘓了,我們也可以從異地備份的日志中看到DHCP服務器最后做了哪些動作,才會導致這個服務器故障。
#p#副標題#e#
第三步:設置管理員組。
在大型網絡中,往往不只一個網絡管理員。各個網絡管理員分工合作,各司其責。所以,我們網絡管理員不希望其他的同伙,如防火墻管理人員能夠管理其不應該管理的DHCP服務器。也就是說,我們要把DHCP服務器的管理員設置在最小范圍之內。
在實際工作中,有些網絡管理員可能比價喜歡偷懶,沒有具體區分每個管理員的工作范圍;在帳戶上,也沒有區分彼此的權限。如在域環境中,有些網絡管理員就直接設置了一個管理員組。在這個管理員組中所有用戶對所有的網絡設備與服務器都具有管理的權限。筆者認為,如此的吃大鍋飯的做法,是比較不合適的,危險的隱患比較大。下面筆者就以微軟的域環境為例,談談如何把DHCP服務器的管理員角色跟其他的管理員角色區分開來。
首先,我們在管理工具中,找到“域安全策略”管理工具,雙擊打開這個工具。在彈出的對話框中,依次打開Windos設置、安全設置、受限制的組。然后新添加一個組。在彈出的對話框中,輸入DHCP Administrators。然后,點確定保存。如此的話,只有這個組中的用戶對DHCP服務器具有管理的權限。其他組的用戶,即使具有其他服務器的管理權限,也無法管理DHCP服務。
其次,就是新建管理員用戶,并把它加入到這個DHCP管理員組中。在DHCP Administrators組中,選擇“安全性”,在彈出的對話框中,選擇“添加”,并把我們剛才建立的用戶加入到這個組中。如此的話,我們就可以把DHCP服務器管理員盡量的縮小。我們的目標就是企業網絡可能有多個管理員,但是,DHCP服務器只有一個管理員。這么設計,對于DHCP的安全性與穩定性是非常有幫助的。
第四步:做好DHCP服務器相關設置的備份工作。
在DHCP服務器中,進行的一些相關配置,我們都需要進行備份。如地址池中有哪些可以分配的地址,哪些ip地址是不能夠被分配的;如租約的期限是多少;如是否有IP地址跟MAC地址綁定的設置;等等。對于這些內容的話要及時的進行備份,并且隨著DHCP服務器的調整及時的進行改寫。如此的話,當DHCP服務器出現故障的時候,我們可以在短時間內建立起一個新的DHCP服務器,從而減少因為DHCP服務器故障給企業網絡帶來的不利影響。
另外,有些企業還會給網絡設置一個冗余的DHCP服務器。當這個DHCP服務器出現故障的話,另外一個DHCP服務器可能馬上接替其進行工作。當然,這個冗余的DHCP服務器其是跟主服務器同步的。主服務器的相關配置的調整會及時的反應到冗余服務器上面。其實,這也是一個DHCP服務器的熱備份。不過,企業到底有沒有需要建立一個冗余的DHCP服務器呢?這主要是根據企業的實際情況來判斷的。因為由于租約的概念,到租約沒有到期,其實DHCP服務器出現短期的故障,也沒有多大的影響。這跟其他的服務器,如應用程序服務期或不同。這些服務器出現故障的時候,大部分業務將無法運行。所以,這些應用程序服務期要能夠保障在工作日內安全穩定的運行。所以,DHCP服務器的話,出現短時的故障,一般不會給企業網絡帶來致命的影響。但是,這有個前提,就是在短期之內。若網絡管理員能夠保證在短時間內修復或者重建DHCP服務器的話,則建立一個冗余的DHCP服務器就沒有多少必要了。當然這是筆者個人觀點。
總之,隨著企業DHCP服務器應用越來越廣泛,而且,在DHCP服務上也能夠進行一些智能的控制,如IP地址與MAC地址綁定等等。所以,現在DHCP服務器也逐漸在成為黑客與其他不法攻擊者所關注的對象。為此,網絡管理員現在也要開始做好DHCP服務器的安全性設計。上面是筆者自己在DHCP服務器管理上的一些心得。也許說的不夠全面,但是句句都是金玉良言,是經驗之談。
