我們都知道，IP地址是企業(yè)局域網(wǎng)主機(jī)進(jìn)行相互通信的基礎(chǔ)。若主機(jī)沒有IP地址的話，則這臺主機(jī)是不能夠上網(wǎng)的。而DHCP服務(wù)器則是掌管著管理企業(yè)局域網(wǎng)主機(jī)IP地址的重任，若其出現(xiàn)安全性漏洞的話，則對于企業(yè)整個局域網(wǎng)的打擊是致命的，會導(dǎo)致企業(yè)整個網(wǎng)絡(luò)的癱瘓。

    所以，網(wǎng)絡(luò)管理員在部署DHCP服務(wù)器的同時，還需要關(guān)注一下，DHCP服務(wù)器的安全性問題。具體的來說，我們可以從以下幾個方面入手，做好DHCP服務(wù)器的安全性管理。

第一步：管理好管理員帳戶。

    DHCP服務(wù)器安全性設(shè)計的第一步就是要做好管理員帳戶的安全措施。因?yàn)闊o論是黑客，還是木馬或者病毒，其若沒有取得管理員權(quán)限的話，則其破壞性也是非常有限的。所以，網(wǎng)絡(luò)管理員第一步要做就是看看該如何保護(hù)好這個管理員帳戶。

   為此，不同的DHCP服務(wù)器角色有不同的保護(hù)措施。

    如我們是在路由器上采用DHCP服務(wù)的，則可以通過IP地址等限制。因?yàn)槁酚善鞯脑挘覀円话愣纪ㄟ^遠(yuǎn)程來管理DHCP服務(wù)器，如通過TELENT或者SSH協(xié)議遠(yuǎn)程連接到服務(wù)器上進(jìn)行管理。為此，我們可以指定一臺主機(jī)，只有這臺主機(jī)才可以連接到路由器上進(jìn)行DHCP服務(wù)器的管理。為此，我們可以在路由器的防火墻上配置，只允許某個IP地址或者M(jìn)AC地址的主機(jī)才能夠連上來進(jìn)行DHCP服務(wù)管理。通過這種方式，再加上用戶的口令，則可以比較好的保障管理員帳戶的安全性。從而不讓攻擊者有機(jī)可乘，破壞DHCP服務(wù)器的安全與穩(wěn)定。

    如DHCP服務(wù)器是部署在微軟的操作系統(tǒng)上，并且在域環(huán)境中，則管理起來更加的方便。如我們可以在活動目錄用戶和計算機(jī)中，可以建立一個用戶，專門用來管理DHCP服務(wù)器。用戶新建立之后，則可以把這個用戶指定為管理員角色，讓其有權(quán)限管理DHCP服務(wù)器。一般來說，筆者是建議各個服務(wù)器的話，采用不同的管理員帳戶。這主要是避免某個管理員帳戶與口令被泄漏之后，其只影響某個特定的服務(wù)，對其他服務(wù)不會有什么不良的影響。另外，對于建立在微軟操作系統(tǒng)的DHCP服務(wù)器來說，也可以實(shí)現(xiàn)遠(yuǎn)程管理。為此，我們也可以利用微軟操作系統(tǒng)自帶的安全策略，指定只有哪些主機(jī)可以連接到DHCP服務(wù)器上進(jìn)行相關(guān)的管理動作。

   總之，攻擊者要攻擊企業(yè)的DHCP服務(wù)器的話，第一步是收集相關(guān)的信息然后進(jìn)行分析;第二步就是設(shè)法取得管理員權(quán)限的帳戶與口令。若我們能夠保護(hù)好管理員帳戶與口令的話，則非法攻擊者將拿我們沒辦法。

第二步：要了解DHCP服務(wù)器的運(yùn)行情況。

  做好管理員帳戶的安全措施之后，網(wǎng)絡(luò)管理員接下去要做的就是了解DHCP服務(wù)器的運(yùn)行狀況;以及在DHCP出現(xiàn)故障之前到底發(fā)生了什么事情，或者出現(xiàn)過哪些異常的情況。要做到這一點(diǎn)，最好的辦法就是查看DHCP服務(wù)器的日志。不過，有些DHCP服務(wù)器默認(rèn)情況下，是沒有開啟DHCP服務(wù)器的審核記錄日志的。若要啟用這個功能，往往需要我們手工開啟。否則的話，DHCP服務(wù)器的一些運(yùn)行信息，包括一些異常信息是無法被服務(wù)器的日志所記錄的。

   下面筆者以微軟操作系統(tǒng)自帶的DHCP服務(wù)為例，談?wù)勅绾伍_啟這個“審核記錄”的功能。

   我們在管理工具中，找到DHCP服務(wù)器管理器，打開DHCP服務(wù)器控制臺窗口，右鍵單擊我們的服務(wù)器，選擇屬性。在彈出的對話框中，切換到“常規(guī)”標(biāo)簽，看看“啟用DHCP審核記錄”選項是否被選中。若選中的話，則DHCP服務(wù)器的一些運(yùn)行信息，就會被保存在系統(tǒng)的日志中。否則的話，就不會記錄DHCP服務(wù)器的運(yùn)行狀態(tài)，我們也就不能夠知道DHCP服務(wù)器到底出了什么事情。

   不過有些時候，黑客光臨了DHCP服務(wù)器之后，往往會想法設(shè)法的隱藏自己的蹤跡。其中有一項措施就是修改或者刪除日志文件。為此，我們?yōu)榱朔乐共环ü粽叻欠ㄐ薷娜罩疚募覀冃枰倪@個日志文件的默認(rèn)路徑。在同一個對話框中，我們可以看到一個“數(shù)據(jù)庫路徑”的選項。后面的內(nèi)容就是這個日志默認(rèn)的保存地點(diǎn)。網(wǎng)絡(luò)管理員可以根據(jù)實(shí)際情況，選擇合適的日志保存路徑。

    另外，這個日志也是我們?nèi)蘸驞HCP服務(wù)器出現(xiàn)故障后排除錯誤的一個重要基礎(chǔ)數(shù)據(jù)。所以，我們還需要對這個日志文件作好相關(guān)的備份工作。否則的話，當(dāng)這個日志意外丟失后，我們就很對查清DHCP服務(wù)器的故障了。還有就是最好能夠?qū)@個日志進(jìn)行異地備份，如此的話，即使DHCP服務(wù)器全部癱瘓了，我們也可以從異地備份的日志中看到DHCP服務(wù)器最后做了哪些動作，才會導(dǎo)致這個服務(wù)器故障。

第三步：設(shè)置管理員組。

   在大型網(wǎng)絡(luò)中，往往不只一個網(wǎng)絡(luò)管理員。各個網(wǎng)絡(luò)管理員分工合作，各司其責(zé)。所以，我們網(wǎng)絡(luò)管理員不希望其他的同伙，如防火墻管理人員能夠管理其不應(yīng)該管理的DHCP服務(wù)器。也就是說，我們要把DHCP服務(wù)器的管理員設(shè)置在最小范圍之內(nèi)。

   在實(shí)際工作中，有些網(wǎng)絡(luò)管理員可能比價喜歡偷懶，沒有具體區(qū)分每個管理員的工作范圍;在帳戶上，也沒有區(qū)分彼此的權(quán)限。如在域環(huán)境中，有些網(wǎng)絡(luò)管理員就直接設(shè)置了一個管理員組。在這個管理員組中所有用戶對所有的網(wǎng)絡(luò)設(shè)備與服務(wù)器都具有管理的權(quán)限。筆者認(rèn)為，如此的吃大鍋飯的做法，是比較不合適的，危險的隱患比較大。下面筆者就以微軟的域環(huán)境為例，談?wù)勅绾伟袲HCP服務(wù)器的管理員角色跟其他的管理員角色區(qū)分開來。

    首先，我們在管理工具中，找到“域安全策略”管理工具，雙擊打開這個工具。在彈出的對話框中，依次打開Windos設(shè)置、安全設(shè)置、受限制的組。然后新添加一個組。在彈出的對話框中，輸入DHCP Administrators。然后，點(diǎn)確定保存。如此的話，只有這個組中的用戶對DHCP服務(wù)器具有管理的權(quán)限。其他組的用戶，即使具有其他服務(wù)器的管理權(quán)限，也無法管理DHCP服務(wù)。

    其次，就是新建管理員用戶，并把它加入到這個DHCP管理員組中。在DHCP Administrators組中，選擇“安全性”，在彈出的對話框中，選擇“添加”，并把我們剛才建立的用戶加入到這個組中。如此的話，我們就可以把DHCP服務(wù)器管理員盡量的縮小。我們的目標(biāo)就是企業(yè)網(wǎng)絡(luò)可能有多個管理員，但是，DHCP服務(wù)器只有一個管理員。這么設(shè)計，對于DHCP的安全性與穩(wěn)定性是非常有幫助的。

第四步：做好DHCP服務(wù)器相關(guān)設(shè)置的備份工作。

    在DHCP服務(wù)器中，進(jìn)行的一些相關(guān)配置，我們都需要進(jìn)行備份。如地址池中有哪些可以分配的地址，哪些ip地址是不能夠被分配的;如租約的期限是多少;如是否有IP地址跟MAC地址綁定的設(shè)置;等等。對于這些內(nèi)容的話要及時的進(jìn)行備份，并且隨著DHCP服務(wù)器的調(diào)整及時的進(jìn)行改寫。如此的話，當(dāng)DHCP服務(wù)器出現(xiàn)故障的時候，我們可以在短時間內(nèi)建立起一個新的DHCP服務(wù)器，從而減少因?yàn)镈HCP服務(wù)器故障給企業(yè)網(wǎng)絡(luò)帶來的不利影響。

   另外，有些企業(yè)還會給網(wǎng)絡(luò)設(shè)置一個冗余的DHCP服務(wù)器。當(dāng)這個DHCP服務(wù)器出現(xiàn)故障的話，另外一個DHCP服務(wù)器可能馬上接替其進(jìn)行工作。當(dāng)然，這個冗余的DHCP服務(wù)器其是跟主服務(wù)器同步的。主服務(wù)器的相關(guān)配置的調(diào)整會及時的反應(yīng)到冗余服務(wù)器上面。其實(shí)，這也是一個DHCP服務(wù)器的熱備份。不過，企業(yè)到底有沒有需要建立一個冗余的DHCP服務(wù)器呢?這主要是根據(jù)企業(yè)的實(shí)際情況來判斷的。因?yàn)橛捎谧饧s的概念，到租約沒有到期，其實(shí)DHCP服務(wù)器出現(xiàn)短期的故障，也沒有多大的影響。這跟其他的服務(wù)器，如應(yīng)用程序服務(wù)期或不同。這些服務(wù)器出現(xiàn)故障的時候，大部分業(yè)務(wù)將無法運(yùn)行。所以，這些應(yīng)用程序服務(wù)期要能夠保障在工作日內(nèi)安全穩(wěn)定的運(yùn)行。所以，DHCP服務(wù)器的話，出現(xiàn)短時的故障，一般不會給企業(yè)網(wǎng)絡(luò)帶來致命的影響。但是，這有個前提，就是在短期之內(nèi)。若網(wǎng)絡(luò)管理員能夠保證在短時間內(nèi)修復(fù)或者重建DHCP服務(wù)器的話，則建立一個冗余的DHCP服務(wù)器就沒有多少必要了。當(dāng)然這是筆者個人觀點(diǎn)。

   總之，隨著企業(yè)DHCP服務(wù)器應(yīng)用越來越廣泛，而且，在DHCP服務(wù)上也能夠進(jìn)行一些智能的控制，如IP地址與MAC地址綁定等等。所以，現(xiàn)在DHCP服務(wù)器也逐漸在成為黑客與其他不法攻擊者所關(guān)注的對象。為此，網(wǎng)絡(luò)管理員現(xiàn)在也要開始做好DHCP服務(wù)器的安全性設(shè)計。上面是筆者自己在DHCP服務(wù)器管理上的一些心得。也許說的不夠全面，但是句句都是金玉良言，是經(jīng)驗(yàn)之談。