企业内网DHCP服务器安全保障要领
所以,网络管理员在部署DHCP服务器的同时,还需要关注一下,DHCP服务器的安全性问题。具体的来说,我们可以从以下几个方面入手,做好DHCP服务器的安全性管理。
第一步:管理好管理员帐户。
DHCP服务器安全性设计的第一步就是要做好管理员帐户的安全措施。因为无论是黑客,还是木马或者病毒,其若没有取得管理员权限的话,则其破坏性也是非常有限的。所以,网络管理员第一步要做就是看看该如何保护好这个管理员帐户。
为此,不同的DHCP服务器角色有不同的保护措施。
如我们是在路由器上采用DHCP服务的,则可以通过IP地址等限制。因为路由器的话,我们一般都通过远程来管理DHCP服务器,如通过TELENT或者SSH协议远程连接到服务器上进行管理。为此,我们可以指定一台主机,只有这台主机才可以连接到路由器上进行DHCP服务器的管理。为此,我们可以在路由器的防火墙上配置,只允许某个IP地址或者MAC地址的主机才能够连上来进行DHCP服务管理。通过这种方式,再加上用户的口令,则可以比较好的保障管理员帐户的安全性。从而不让攻击者有机可乘,破坏DHCP服务器的安全与稳定。
第二步:要了解DHCP服务器的运行情况。
做好管理员帐户的安全措施之后,网络管理员接下去要做的就是了解DHCP服务器的运行状况;以及在DHCP出现故障之前到底发生了什么事情,或者出现过哪些异常的情况。要做到这一点,最好的办法就是查看DHCP服务器的日志。不过,有些DHCP服务器默认情况下,是没有开启DHCP服务器的审核记录日志的。若要启用这个功能,往往需要我们手工开启。否则的话,DHCP服务器的一些运行信息,包括一些异常信息是无法被服务器的日志所记录的。
下面笔者以微软操作系统自带的DHCP服务为例,谈谈如何开启这个“审核记录”的功能。
我们在管理工具中,找到DHCP服务器管理器,打开DHCP服务器控制台窗口,右键单击我们的服务器,选择属性。在弹出的对话框中,切换到“常规”标签,看看“启用DHCP审核记录”选项是否被选中。若选中的话,则DHCP服务器的一些运行信息,就会被保存在系统的日志中。否则的话,就不会记录DHCP服务器的运行状态,我们也就不能够知道DHCP服务器到底出了什么事情。
不过有些时候,黑客光临了DHCP服务器之后,往往会想法设法的隐藏自己的踪迹。其中有一项措施就是修改或者删除日志文件。为此,我们为了防止不法攻击者非法修改日志文件,我们需要更改这个日志文件的默认路径。在同一个对话框中,我们可以看到一个“数据库路径”的选项。后面的内容就是这个日志默认的保存地点。网络管理员可以根据实际情况,选择合适的日志保存路径。
另外,这个日志也是我们日后DHCP服务器出现故障后排除错误的一个重要基础数据。所以,我们还需要对这个日志文件作好相关的备份工作。否则的话,当这个日志意外丢失后,我们就很对查清DHCP服务器的故障了。还有就是最好能够对这个日志进行异地备份,如此的话,即使DHCP服务器全部瘫痪了,我们也可以从异地备份的日志中看到DHCP服务器最后做了哪些动作,才会导致这个服务器故障。