企業區域網內DHCP伺服器的安全設計

我們都知道，ip位址是企業區域網主機進行相互通訊的基礎。若主機沒有ip位址的話，則這台主機是不能夠上網的。而dhcp伺服器則是掌管著管理企業區域網主機ip位址的重任，若其出現安全性漏洞的話，則對於企業整個區域網的打擊是致命的，會導致企業整個網路的癱瘓。

所以，網路管理員在部署dhcp伺服器的同時，還需要關注一下，dhcp伺服器的安全性問題。具體的來說，我們可以從以下幾個方面入手，做好dhcp伺服器的安全性管理。

第一步：管理好管理員帳戶。

dhcp伺服器安全性設計的第一步就是要做好管理員帳戶的安全措施。因為無論是黑客，還是木馬或者病毒，其若沒有取得管理員許可權的話，則其破壞性也是非常有限的。所以，網路管理員第一步要做就是看看該如何保護好這個管理員帳戶。

為此，不同的dhcp伺服器角色有不同的保護措施。

如我們是在路由器上採用dhcp服務的，則可以通過ip位址等限制。因為路由器的話，我們一般都通過遠端來管理dhcp伺服器，如通過telent或者ssh協議遠端連線到伺服器上進行管理。為此，我們可以指定一台主機，只有這台主機才可以連線到路由器上進行dhcp伺服器的管理。為此，我們可以在路由器的防火牆上配置，只允許某個ip位址或者mac位址的主機才能夠連上來進行dhcp服務管理。通過這種方式，再加上使用者的口令，則可以比較好的保障管理員帳戶的安全性。從而不讓攻擊者有機可乘，破壞dhcp伺服器的安全與穩定。

如dhcp伺服器是部署在微軟的作業系統上，並且在域環境中，則管理起來更加的方便。如我們可以在活動目錄使用者和計算機中，可以建立乙個使用者，專門用來管理dhcp伺服器。使用者新建立之後，則可以把這個使用者指定為管理員角色，讓其有許可權管理dhcp伺服器。一般來說，筆者是建議各個伺服器的話，採用不同的管理員帳戶。這主要是避免某個管理員帳戶與口令被洩漏之後，其只影響某個特定的服務，對其他服務不會有什麼不良的影響。另外，對於建立在微軟作業系統的dhcp伺服器來說，也可以實現遠端管理。為此，我們也可以利用微軟作業系統自帶的安全策略，指定只有哪些主機可以連線到dhcp伺服器上進行相關的管理動作。

總之，攻擊者要攻擊企業的dhcp伺服器的話，第一步是收集相關的資訊然後進行分析;第二步就是設法取得管理員許可權的帳戶與口令。若我們能夠保護好管理員帳戶與口令的話，則非法攻擊者將拿我們沒辦法。

第二步：要了解dhcp伺服器的運**況。

做好管理員帳戶的安全措施之後，網路管理員接下去要做的就是了解dhcp伺服器的執行狀況;以及在dhcp出現故障之前到底發生了什麼事情，或者出現過哪些異常的情況。要做到這一點，最好的辦法就是檢視dhcp伺服器的日誌。不過，有些dhcp伺服器預設情況下，是沒有開啟dhcp伺服器的審核記錄日誌的。若要啟用這個功能，往往需要我們手工開啟。否則的話，dhcp伺服器的一些執行資訊，包括一些異常資訊是無法被伺服器的日誌所記錄的。

下面筆者以微軟作業系統自帶的dhcp服務為例，談談如何開啟這個「審核記錄」的功能。

我們在管理工具中，找到dhcp伺服器管理器，開啟dhcp伺服器控制台視窗，右鍵單擊我們的伺服器，選擇屬性。在彈出的對話方塊中，切換到「常規」標籤，看看「啟用dhcp審核記錄」選項是否被選中。若選中的話，則dhcp伺服器的一些執行資訊，就會被儲存在系統的日誌中。否則的話，就不會記錄dhcp伺服器的執行狀態，我們也就不能夠知道dhcp伺服器到底出了什麼事情。

不過有些時候，黑客光臨了dhcp伺服器之後，往往會想法設法的隱藏自己的蹤跡。其中有一項措施就是修改或者刪除日誌檔案。為此，我們為了防止不法攻擊者非法修改日誌檔案，我們需要更改這個日誌檔案的預設路徑。在同乙個對話方塊中，我們可以看到乙個「資料庫路徑」的選項。後面的內容就是這個日誌預設的儲存地點。網路管理員可以根據實際情況，選擇合適的日誌儲存路徑。

另外，這個日誌也是我們日後dhcp伺服器出現故障後排除錯誤的乙個重要基礎資料。所以，我們還需要對這個日誌檔案作好相關的備份工作。否則的話，當這個日誌意外丟失後，我們就很對查清dhcp伺服器的故障了。還有就是最好能夠對這個日誌進行異地備份，如此的話，即使dhcp伺服器全部癱瘓了，我們也可以從異地備份的日誌中看到dhcp伺服器最後做了哪些動作，才會導致這個伺服器故障。

企業區域網內DHCP伺服器的安全設計

區域網內伺服器

區域網內訪問tomcat伺服器

iptables對區域網內FTP伺服器的設定

企業區域網內DHCP伺服器的安全設計

區域網內伺服器

區域網內訪問tomcat伺服器

iptables對區域網內FTP伺服器的設定

相關推薦