如何预防用户恶意修改IP地址来获的访问权限
解决方法:在交换机上配置MAC访问控制列表.
在公司里面,用户修改IP地址企图获的访问权限,这种现象很常见,会导致在公司里面网络通信出现故障(由于IP地址冲突).
作为一名网络管理员,有职责来预防这类现象.
解决方法:
为了更详细说明问题,假设在公司里面,192.168.1.0/24这个网段具有访问192.168.2.0/24网段服务器的权利.
现有一个非法用户企图修改自己IP地址为192.168.1.0/24网段来访问服务器.
1.正常情况下,为了只允许192.168.1.0/24网段用户访问服务器,管理员只需要在交换机上配置
access-list {acl#} permit ip host 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
然后把访问控制列表应用在交换机的接口下,即
ip access-group {acl#} {in |outside }
注意:默认情况下,192.168.1.0/24 和192.168.2.0/24之外的网段用户是无法访问服务器的,但此时交换机毫无能力来预防用户修改IP地址,此时,非法用户只要把IP地址修改成192.168.1.0 或192.168.2.0即可访问服务器.
2.在第1步的基础上,网络管理员还需要做更多的事情.
arp {ip_address} {mac_address} arpa (把192.168.1.0/24和192.168.2.0/24的用户IP地址与各自MAC地址进行一一映射)
附:如果非法用户把其IP地址修改成上面合法的IP地址,他们发送到路由器的包是正常的,但是,从服务器返回来的包在路由器上转发的时候,目标地址总是为192.168.1.0和192.168.2.0合法用户的MAC地址,非法用户是永远接收不到包的.
俗话说的好,道高一尺,魔高一丈,你能对MAC地址与IP地址进行绑定,那么,我只要把自己的MAC地址修改成192.168.1.0和192.168.2.0合法用户的MAC地址,那么,不就可以轻易的接受到服务器返回过来的包了吗?
是的,一点没错.
那么,网络管理员就束手无策了吗?答案当时不是.
再教你一招:port secure !
管理员除了进行上述配置外,另外只需要在每个端口下激活port secure功能,当非法用户修改了MAC地址之后,交换机就自动关闭了端口,哈哈,让他电脑真正成为PC机,任何资源都访问不了,包括Internet.
具体设置方法:
进入交换机
switch>enable
password:******
switch#config t
switch(config)# interface {interface_id }
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security violation [protect |restric |shutdown ]
注:protect-当交换机接收到非法源地址的包,不告警;
restric-当交换机接收到非法源地址的包,发送syslog告警;
shutdown-当交换机接收到非法源地址的包,关闭其端口,让非法用户与网络断开.
这一招的确够绝,如果我是老板,看见我手下真有用户进行而已修改,我根据其端口,直接找到其PC机,第2天,让他倦着行李回家睡觉去,呵呵!我想大家都喜欢做一个遵守公司纪律的好员工,不会恶意修改其IP地址的. 不错,不错,嘿嘿,能试用下
页:
[1]