DHCP服务器 DHCP服务器应答 客户端 客户请求 中继客户端请求 DHCP服务器 中继DHCP服务器应答 客户端请求 客户端 图 2-7DHCP中继传递消息图
2.3.4 DHCP中继工作过程
DHCP中继工作过程如图 2-8,其中DHCP中继设备修改DHCP消息中的相应字段,把DHCP的广播包改为单播包,并负责在服务器与客户端之间转换。 客户端 DHCP中继代理 DHCP服务器
Client DHCP Relay DHCP Server
广播 单播
DHCP DISCOVER(广播) DHCP DISCOVER(单播)
DHCP OFFER(广播) DHCP OFFER(单播)
图 2-8 DHCP中继工作过程
DHCP REQUEST(广播) DHCP REQUEST(单播) DHCPACK(广播) DHCPACK(单播) 第3章 DHCP的安全性问题及对策
3.1 DHCP的缺陷
DHCP只是在功能上设计得很好,可以很方便地为网络中新客户端配置IP地址和网络参数,但DHCP存在着许多严重的缺陷:DHCP不具有将地址和用户名联合起来管理的功能;DHCP服务器仅仅只能在有请求时分发IP地址,并在过期时将它们收回,它不会询问用户的信息,也不会跟踪除了IP地址和租约参数以外的其它信息;在安全层面,DHCP没有提供任何有效的方式来认证IP地址冲突或者追踪流氓地址,也不具有任何防御恶意主机的功能,因此DHCP极易遭受各种各样的攻击。
3.2 DHCP易受到的威胁
DHCP在设计上不具有任何防御恶意主机的功能,因此DHCP极易遭受各种各样的威胁。DHCP服务器的威胁可以是一个非法客户端伪装成一个合法客户端申请IP地址和网络参数,轻易的使用外部和内部网络资源从而导致信息的泄密;也可以是流氓DHCP服务器应答合法的客户端,当客户端申请IP地址和网络参数时,它故意提供错误的配置信息,流氓服务器可以在地址池,排除域,保留地址,子网掩码,DNS服务器地址,默认网关地址等错误的配置。
3.3消除DHCP威胁的对策
3.3.1 主动检测非法服务器
当网络中一个伪服务器建立后,对网络的危害是巨大的,可导致整个网络的瘫痪。网络管理员通常是检查导致网络瘫痪的各个细节,都一无所获,很难想到是伪服务器所致,最后排除了各种原因,确定存在一个伪服务器在网络中,但在大型企业网络中是很难确定它的位置。所以,在网络中构建一个网络入侵监控程序,主动检测是否有伪服务器在网络中,尽早发现伪服务器并避免对网络造成的损失。
主动检测模块拥有一个主动检测非法服务器的功能,它可以配置在客户端,合法服务器端以及DHCP中继端。下面将以客户端配置主动检测非法服务器功能为例进行描述。主动检测模块主动向DHCP服务器发送DHCPDISCOVER消息。想要发现伪服务器,首先在收到客户端发出的DHCPDISCOVER消息后,无论是合法DHCP服务器还是伪服务器都会发出DHCPOFFER消息,这时主动检测模块不是选择一个DHCP服务器来为它配置IP地址和参数,而是解析出接收的DHCPOFFER消息中的服务器标识选项(一般由DHCP服务器的IP地址表示)。此时在客户端保存着一张表,此表记录着它对应的所有合法DHCP服务器的标识。主动检测模块会查询DHCP Server ID 表,如果解析出的DHCP服务器标识都在表中,则说明该子网段中没有非法的DHCP服务器,则继续发出DHCPREQUEST广播报文。为了避免在网络中产生广播风暴,影响网络的性能,所以要间隔一定的时间。如果收到的DHCPOFFER消息中的DHCP服务器标识有些不在DHCP Server ID表中,那说明该子网中有非法的DHCP服务器被启动了。主动检测模块记录伪DHCP服务器的IP地址,然后以某种方式向网络管理
员发送警告信息,例如向网络管理员发送Email等。
3.3.2 检测MAC地址
首先,用户在DHCP服务器上注册他们主机的MAC地址,DHCP服务器只为注册过的主机分配IP地址,因此,这是一种机器认证方式。当客户主机向DHCP服务器申请IP地址时,客户端必须发出广播,源地址和目的地址分别为0. 0. 0 .0 和255 .255 .2 55 .255。当客户端和DHCP服务器之间通讯的时候,DHCP服务器要知道是哪一个客户端在申请IP地址。因此,DHCP报文中客户端标识项必须填写并且在申请IP地址的全过程都必须是一致的,通常客户端标识项填写的是客户端的MAC地址。因为MAC地址是唯一的, 它可以唯一标识一台客户端。
3.3.3 LANA系统
这种LANA系统[8]解决安全问题的方法是:使用特殊的HUB来进行存取控制,HUB的每个端口对应特定的DHCP客户机,相当于绑定的机制。
3.3.4 SPINACH方法
SPINACH[9,10](Secure Public Internet Access Handler)在连接到公共端
口的客户端和部门网络中的主机间建了一个所谓的“监测层”来控制网络中传输的数据。应用在DHCP中时,具体做法如下:在用户进行了身份认证之后,认证服务器给用户一个叫做ticket的控制信息,用户再把ticket提交给适当的服务器以获取必要的信息,比如,用户将ticket提交给路由器以连接到外部网络中。
3.3.5 DHCP消息认证机制
DHCP消息认证机制[12]是对以前DHCP协议的完善,与原来的DHCP 技
术很好的结合在一起, 与客户申请IP地址的过程很好的统一在一起,不仅能够对DHCP消息认证,也能对DHCP实体认证,弥补了先前DHCP协议中不能进行认证的缺陷,极大的减少了DHCP 威胁。
DHCP消息认证机制是增加一个DHCP消息选项码来完成DHCP服务器与客户端之间的认证工作。这样可以完全不改变DHCP原有协议,而对DHCP消息进行认证,虽然只是添加了一个DHCP消息选项码,但其实是增添了一个协议,且此选项码中可以定义不同的认证方法。由于消息认证机制的扩展性很好,使用的认证协议不同可以定义不用的使用算法。
3.4 消除DHCP威胁几种对策的比较 3.4.1 主动检测非法服务器
这种方法是由检测的时间间隔时段长度来决定的。虽然可以降低流氓服务器对网络的破坏程度,但是客户端在向DHCP服务器申请网络地址和参数时发DISCOVER消息是广播方式,检测模块应该在每一个物理子网内部署,并且确定合适的检测间隔时段的长度是困难的,最后即使网络中存在检测模块但还是不能完全防止流氓服务器的运行。
3.4.2检测MAC地址
这种方法可以部分地减少初级非法用户的侵入。但是对于用户来说不方便,缺乏灵活性。当非法用户将其MAC地址修改为合法的MAC地址时,很容易地
就能获得IP地址。这种方法也不是绝对安全的,而且要增加新用户注册的过程,附加注册软件, 从而加大企业成本。
3.4.3 LANA系统
LANA系统存在的缺陷:需要特殊的设备来参与进行安全管理,DHCP网络的灵活性也受到了限制。
3.4.4 SPINACH方法
这种方法并不能防止IP地址和MAC地址的同时伪造。因此,也是相对不安全的。
3.4.5 DHCP消息认证机制
消息认证只对实体和DHCP消息实现了弱的认证功能,而且该系统没有实现访问控制的功能,对DHCP消息的加密和解密会延长配置主机的时间,并且必须设计相关算法。
3.5 消除DHCP威胁结合的网络安全技术
3.5.1网络入侵监测技术
网络入侵检测技术[13]也被称为网络实时监控技术,它通过硬件或软件对
网络上的数据流进行实时检查,并与系统中的入侵特征数据库进行比对,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统来调整访问控制策略,将入侵的数据包过滤掉等。网络入侵检测部件可以直接部署于受监控网络的广播网段,或者直接接收受监控网络旁路过来的数据流。为了更有效地发现网络攻击的迹象,网络入侵检测组件应能够分析各种网络协议,识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是通过网络入侵特征库来实现的,这种方法有利于在出现了新的网络攻击手段时方便地对入侵特征库加以更新,提高入侵检测部件对网络攻击行为的识别能力。
网络入侵检测技术可以用来实现网络安全检测和实时攻击识别,但它只能作为网络安全一个重要的安全组件,其原因在于网络入侵检测技术对网络攻击进行识别并做出反应, 但其侧重点是在于发现。
3.5.2 访问控制
访问控制是网络安全防范和保护的主要技术,决定了谁能够访问系统的何种资源以及如何使用这些资源,适当的访问控制可以防止未经授权的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权(如用户配置文件,资源配置文件和控制列表)授权验证,日志记录和审计。访问控制技术包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。下面分述要用到的几种访问控制技术。 1. 入网访问控制
入网访问控制为网络访问控制提供了第一层访问控制,它控制用户登录到服务器并获取网络资源,控制用户的访问时间和访问登录后的工作站。用户的网络访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户
账号的缺省限制检查,三个层次的任何一层没有通过,用户都不能访问的网络。 网络用户的用户名和密码验证是防止非法访问的第一道防线。用户注册时首先输入用户名和密码,服务器将验证所输入的用户名是否合法的,如果验证合法,才能继续验证用户输入的密码,否则,用户退出网络。网络管理员可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户账号是所有计算机系统中最基本的安全形式,用户帐号应只有系统管理员可以建立,用户密码应是每个用户接入到网络“身份证”,用户可以修改自己的密码,但系统管理员可以控制密码的形式。用户名和密码验证有效之后,再进一步履行用户账号的缺省限制检查,网络应能控制用户登录访问的站点,限制用户上网时间,限制用户访问工作站的数量。网络应对所有用户的访问进行审计,如果多次输入口令不正确,则认为是非法用户的入侵,给出警告信息并限制一段时间之内不能登录。 2. 网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施,用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。 3. 目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级对所有文件和子目录访问有效,用户进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种: 系统管理员权限( SuPevrisor )、读权限( Read )、写权限(Write)、创建权限( Create )、删除权限( Erase )、修改权限(Modify )、文件查找权限( File Scan )、存取控制权限(AcesContor)。用户对文件或目录的有效权限取决于以下因素:用户的受托者指派、用户所在组的受托者指派,继承权限屏蔽取消的用户权限。网络系统管理员应为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问,八种访问权限的有效组合可以让用户有效地完成工作,并能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
4. 属性安全控制
在使用文件、目录和网络设备时,网络管理员应给文件、目录等指定访问属性。网络上的资源都应预先标出一组安全属性的用户访问网络资源对应的访问控制表,用以表明用户对网络资源的访问权限。属性设置可以覆盖已经指定的任何受托者指派的有效权限,属性往往能控制以下几个方面的权限: 写入文件数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐藏文件,共享,系统属性等。网络的属性安全控制可以保护重要的目录和文件,防止用户对目录和文件的误删除、修改、显示等。 5. 网络服务器安全控制
网络允许在服务器控制台上执行一系列的操作。用户可以使用控制台来加载和卸载模块,安装和删除软件等操作。网络服务器的安全控制包括:设置口令锁定服务器控制台上的重要信息,以防止非法用户修改,删除或破坏数据;设定服