基于網(wǎng)絡(luò)中ARP問題的分析及對(duì)策

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了基于網(wǎng)絡(luò)中ARP問題的分析及對(duì)策范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

1某醫(yī)院網(wǎng)絡(luò)的現(xiàn)狀分析

目前醫(yī)院網(wǎng)絡(luò)現(xiàn)存主要問題是arp病毒的泛濫，表現(xiàn)形式是:雖然網(wǎng)絡(luò)連接正常，卻無法打開網(wǎng)頁;計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)常斷線，同時(shí)網(wǎng)絡(luò)速度變慢。這些都是由于存在ARP問題，所表現(xiàn)出來的網(wǎng)絡(luò)故障情況。

ARP欺騙攻擊不僅影響網(wǎng)絡(luò)穩(wěn)定，更嚴(yán)重的是利用ARP欺騙攻擊可進(jìn)行中間人攻擊，欺騙整個(gè)局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)，導(dǎo)致所有網(wǎng)絡(luò)流量都經(jīng)過攻擊者主機(jī)進(jìn)行轉(zhuǎn)發(fā)，攻擊者通過截得獲取的信息可得到相關(guān)用戶名和口令。ARP是把IP翻譯成MAC的一種協(xié)議，通過它交換機(jī)完成數(shù)據(jù)報(bào)文的快速轉(zhuǎn)發(fā)，所以交換機(jī)要學(xué)習(xí)IP和MAC的對(duì)應(yīng)關(guān)系，形成ARP表項(xiàng)，存儲(chǔ)在計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備的內(nèi)存中。因歷史原因，ARP設(shè)計(jì)并沒有考慮安全性，于是現(xiàn)實(shí)中出現(xiàn)了問題:局域網(wǎng)上的一臺(tái)主機(jī)，如果接收到一個(gè)ARP報(bào)文，即使該報(bào)文不是該主機(jī)所發(fā)送的ARP請(qǐng)求的應(yīng)答報(bào)文，該主機(jī)也會(huì)將ARP報(bào)文中的發(fā)送者的MAC地址和IP地址更新或加入到ARP表中。

2某醫(yī)院網(wǎng)絡(luò)改造方案

根據(jù)前面與醫(yī)院的交流，本次網(wǎng)絡(luò)改造主要解決目前網(wǎng)絡(luò)當(dāng)中存在的ARP攻擊欺騙為主，兼顧流量分析、終端管理等網(wǎng)絡(luò)維護(hù)管理內(nèi)容。設(shè)計(jì)本方案的基礎(chǔ)是，網(wǎng)絡(luò)因?yàn)闊o法再重新布線，需要維持原有網(wǎng)絡(luò)拓?fù)?，將原先的接入交換機(jī)和核心交換機(jī)替換為H3C全系列支持ARP攻擊防御解決方案的接入交換機(jī)H3C3100EI及核心插卡式高端交換機(jī)H3CS7502E系列交換機(jī)。業(yè)界常用解決方案是在接入交換機(jī)上配置命令做網(wǎng)關(guān)IP和MAC的綁定，防御網(wǎng)關(guān)仿冒，H3C也可以實(shí)現(xiàn)此方案，但這種方案局限性較大，僅適用某些特定網(wǎng)絡(luò)場景和一種ARP攻擊的防御，不夠全面。下面以H3C交換機(jī)為例為該醫(yī)院出現(xiàn)的一些問題進(jìn)行設(shè)計(jì)介紹。

2．1全面的ARP攻擊防御解決方案

根據(jù)該醫(yī)院ARP攻擊的特點(diǎn)，在DHCP監(jiān)控模式下的防ARP攻擊解決方案。通過接入交換機(jī)上開啟DHCPSnooping功能、配置IP靜態(tài)綁定表項(xiàng)、ARP入侵檢測(cè)功能和ARP報(bào)文限速功能，可以防御常見的ARP攻擊。1)DHCPSnooping功能。通過監(jiān)聽DHCP報(bào)文，記錄DHCP客戶端IP地址與MAC地址的對(duì)應(yīng)關(guān)系，并且所有重要服務(wù)器的IP的綁定關(guān)系將由H3CCAMS認(rèn)證服務(wù)器到計(jì)算機(jī)終端，避免被ARP攻擊欺騙。2)ARP入侵檢測(cè)功能。H3C接入交換機(jī)根據(jù)接收到的ARP報(bào)文重定向到CPU，綜合DHCPSnooping安全特性判斷合法性且進(jìn)行處理。3)ARP報(bào)文限速功能。H3C接入交換機(jī)支持端口ARP報(bào)文限速功能，受到攻擊時(shí)則臨時(shí)關(guān)閉，避免該類攻擊對(duì)CPU的影響。4)杜絕靜態(tài)IP地址更改及ACL訪問控制列表實(shí)施。5)綁定唯一對(duì)應(yīng)MAC和IP地址，只要有任何用戶嘗試修改其他地址，都將視為非法行為，產(chǎn)生網(wǎng)絡(luò)中斷，保證其安全性。這樣對(duì)網(wǎng)絡(luò)的訪問，可挑選在接入及核心交換機(jī)上實(shí)施，很大程度上減輕出口防火墻的壓力。不僅對(duì)于外網(wǎng)訪問能做規(guī)則策略，對(duì)于內(nèi)網(wǎng)網(wǎng)段之間同樣可根據(jù)具體情況和需求實(shí)施不同訪問控制。

2．2終端接入安全及管理

在該醫(yī)院網(wǎng)絡(luò)建設(shè)的過程中，如何提供安全的資源共享，有效的對(duì)訪問網(wǎng)絡(luò)資源的人員進(jìn)行安全管理，成為網(wǎng)絡(luò)管理人員越來越關(guān)注的焦點(diǎn)。目前，網(wǎng)絡(luò)管理人員關(guān)注的問題主要有以下幾個(gè)方面:①誰是你可信賴的用戶?②這些用戶應(yīng)該看到什么?③他們?cè)试S在網(wǎng)絡(luò)的資源上用到什么?④他們是否可以接入到信息資源?⑤他們什么時(shí)候可以獲得操作權(quán)?⑥怎么管理這些移動(dòng)的或分散于全省各地的用戶?⑦這些用戶對(duì)網(wǎng)絡(luò)資源的訪問是否符合該醫(yī)院所設(shè)定的安全規(guī)范?進(jìn)入隔離區(qū)的用戶，只有通過一系列安裝系統(tǒng)補(bǔ)丁、檢查終端系統(tǒng)信息等操作，才能通過網(wǎng)絡(luò)安全策略的檢驗(yàn)。

3實(shí)施

3．1部門IP分配

由于網(wǎng)絡(luò)地址為192．168．60．X到192．168．65．X，其中192．168．60．X是可以上醫(yī)保網(wǎng)的網(wǎng)段，所以對(duì)名醫(yī)堂、兒科、門診大廳只能在網(wǎng)段192．168．60．X，藥庫、病案樓、新病房樓放入內(nèi)網(wǎng)網(wǎng)段192．168．61．X和192．168．62．X，其余的部門放入外網(wǎng)網(wǎng)段，需要2個(gè)外網(wǎng)網(wǎng)段，最后192．168．65．X作為給分醫(yī)院的。

3．2EAD部署說明

用戶終端須安裝iNode客戶端，在上網(wǎng)前首先進(jìn)行802．1x和安全認(rèn)證，否則將不能接入網(wǎng)絡(luò)或者只能訪問隔離區(qū)的資源。其中，隔離區(qū)是指在交換機(jī)中配置的一組ACL，一般包括EAD安全服務(wù)器、補(bǔ)丁服務(wù)器、防病毒服務(wù)器、DNS、DHCP等服務(wù)器的IP地址。其中EAD安全服務(wù)器和防病毒服務(wù)器必須部署于隔離區(qū)，殺毒軟件可以選擇瑞星殺毒軟件、金山毒霸2013、Norton防病毒、趨勢(shì)防病毒、安博士防病毒、CAKill安全甲胄、McAFee防病毒以及江民KV防病毒軟件。

3．3實(shí)施效果

合法用戶接入網(wǎng)絡(luò)后，其訪問權(quán)限受交換機(jī)中的ACL控制。特定的服務(wù)器只能由被授權(quán)的用戶訪問。用戶之間的互訪權(quán)限也同樣受ACL控制，不同角色的用戶分屬不同的VLAN，不可跨VLAN訪問。必須在通過安全客戶端的檢查后，保證沒有感染病毒才能安全接入網(wǎng)絡(luò)。而且病毒庫版本和補(bǔ)丁得到及時(shí)升級(jí)。

4結(jié)束語

最后，本網(wǎng)絡(luò)改造設(shè)計(jì)根據(jù)該醫(yī)院的實(shí)際情況，從網(wǎng)絡(luò)改造方案來針對(duì)問題提出解決方法，以H3C交換機(jī)為例從ARP攻擊的防御到終端的安全管理的實(shí)施來解決該醫(yī)院存在的ARP攻擊嚴(yán)重的問題，以期對(duì)ARP防御工作有所幫助。

作者：陳磊 單位：江蘇省廣電有線信息網(wǎng)絡(luò)股份有限公司常州分公司