回到首頁
網路環境安全中的"非法DHCP伺服器"會影響網路運行
-
監控"DHCP伺服器"的目的是確保所有合法DHCP伺服器的數量正確,並且沒有私接DHCP的情況發生
加強對DHCP的管控避免私設DHCP所造成的IP衝突,導致無法聯網等情況發生
監控"DHCP伺服器"是網路環境安全中的輔助監測功能之一
維運系統對於伺服器是採全面監控,而不放過任何有可能造成主機營運異常的事件
當上述情況發生時,Watchdog資訊維運系統即會發佈警報並且執行警報機制,務求達到整體妥善率的防護加強
DHCP伺服器
監控"DHCP伺服器"的系統規格
偵測目的: 內部網路內流竄著各類型的通信拹定,有些僅會浪費網路資源,但有些則會造成嚴重影響
如: 不當的DHCP伺服器
監測目標: 合法DHCP伺服器以外的DHCP伺服器
*.非法DHCP伺服器檢查
*.DHCP伺服器溢放IP檢查
*.IP衝突危機檢查
警報條件: 合法以外的IP與MAC
即時資訊: 正常/警報發佈
資訊收集: 訊息,警報發佈/解除時間點
緊急處置: 通報,執行預定程式
警報臨界值: 依應用定義警報值
DHCP即為動態主機配置協定,是Dynamic Host Configuration Protocol的縮寫
可自動將IP位址指派給登入TCP/IP網路用戶端的一種軟體,這種IP位址稱為動態IP位址
這種軟體通常是在路由器及其他網路設備上執行的,依照預設的GateLock路由器設定為使用DHCP
因此無須手動指派永久IP位址給網路上的每個設備
進入偵測畫面如下:
本功能之偵測目的為避免內部網路流竄的各類型通信協定,浪費網路資源,甚至造成嚴重影響
監測目標為合法DHCP伺服器以外的DHCP伺服器,非法DHCP伺服器檢查,DHCP伺服器溢放IP檢查,IP衝突危機檢查
監測DHCP伺服器的功能可以應用在公私單位對合法DHCP之控管,例如在學生宿舍可以避免學生私設DHCP
造成其他學生無法連網的情況發生,監測上可以視為在合法名單之外的DHCP伺服器都屬於非法DHCP
下圖為主偵測畫面進入到非法DHCP伺服器的監控列表:
本偵測功能在發出警報時,可以設定執行命令閘道的遠端控制命令
或是在解除警報時,會同時執行命令閘道的遠端控制命令
圖為非法DHCP伺服器列表
DHCP伺服器功能操作之圖示為利用多面向之圖示協助判讀資料記錄或警報發生的趨勢,及其關聯功能
長期報表,長期報表-警報,DHCP伺服器,非法DHCP伺服器,DHCP伺服器溢放IP,IP衝突危機, 非法MAC使用
若是超過警戒值便會發出警報通知系統人員
圖為主偵測畫面進入到IP衝突危機的監控列表:
IP衝突危機列表:
點選使用說明進入
DHCP與MAC控管說明
*.為了避免同一事件大量傳送警報,同一事件時僅會發出一次警報通知
同一事件如:
*.即時警報事件記錄檔若超過1MB將不再寫入記錄
*.解除警報的方法->刪除即時警報記錄檔
*.警報事件:
1.非法DHCP伺服器
2.DHCP伺服器溢放IP
3.IP衝突危機
4.非法MAC使用
*.尚未離線使用者-重點欄位說明
離線偵測
Y->會使用ping確定此IP是否存在
N->不偵測,直接歸檔記錄
狀態碼
狀態的元素有
合法DHCP伺服器
.合法IP範圍
狀態碼:N
訊息碼:0
.未設IP範圍
狀態碼:N
訊息碼:1
非法DHCP伺服器
狀態碼:A(警報)
訊息碼:2(警報)
DHCP伺服器溢放IP
狀態碼:A(警報)
訊息碼:3(警報)
設定監測DHCP伺服器功能之說明
系統設定為輸入要偵測目標的DHCP伺服器之IP,發放IP-起始,發放IP-結束等資訊後
設定好警報資料如執行前暫停秒數,命令內容,本機命令,並且需要勾選命令名稱,設定好後用點選啟用
即可開始進行預警偵測,下圖為進入設定合法DHCP伺服器名單的畫面:
設定欄位中的DHCP伺服器IP,發放IP-啟始,發放IP-結束,離線測試,進階為本功能特有的設定項目
設定項目說明如下:
序號:顯示偵測項次序號的欄位
啟用,暫停與刪除:選擇偵測項次狀態的欄位
DHCP伺服器IP:輸入合法DHCP的IP位址之欄位
發放IP-啟始:本欄位為輸入合法DHCP所發放的IP位址,以此IP為起始
發放IP-結束:輸入合法的DHCP所發放的IP位址到此的IP位址
說明:註記相關訊息的欄位
離線測試:當目標DHCP離線時,進行測試的選擇欄位
進階:若有數段發放IP的情況時,可使用本進階功能可滿足多段設定的需求,底下為點選進入的設定畫面:
為進階設定的輸入畫面
警報:設定發出警報條件的頁面,偵測系統發出警報時,會同時執行命令閘道的遠端控制命令
解除:設定解除警報條件,在系統解除警報時,會同時執行命令閘道的遠端控制命令
群組名單:可點選已建立之群組或個別輸入名單
單位部門:警報通報之群組名單的單位,部門名稱之註記
別名:使用別名可以讓系統管理者很快的知道設備用途,設定好後儲存,設備名稱會以別名的形式顯示
群組:發佈或解除警報時的通報名單是依群組,部門,特性定義為一群組名稱,分為警報發送的通報名單
或伺服器的分組群組名單
資訊:設定此項設備的詳細資訊,如用途,位置,機櫃,設備照片等,可作為公司的簡易資產管理表
使用說明如下圖文:
DHCP伺服器功能
1.是否在合法DHCP伺服器IP名單內
2.檢查發放的IP是否在定義的範圍內
3.檢查IP衝突
4.記錄發放與離線狀態
警報項目
1.非法DHCP伺服器警報
2.溢放IP範圍警報
3.IP衝突警報
4.非法IP/MAC警報
警報通知
相同的警報項目僅會發出一次通知,若要再次發出通知,必需刪除警報明細檔才可,此項動作是防止警報不斷的發送
[注意]
*.DHCP伺服器是使用廣播方式(Broadcas)通知請求方時才能取得發放的IP,若DHCP伺服器是使用
單播方式(Unicast)通知請求方時將無取得發放的IP
*.使用通信埠 UDP"68"
*.資料清單-長期的 代碼說明
警報代碼
N 正常-未發警報
A 異常-己發警報
訊息代碼
1.合法的DHCP伺服器且有設定合法的發放IP範圍
2.合法的DHCP伺服器但未設定發放IP範圍
3.非法DHCP伺服器在發放IP
4.DHCP伺服器發放的IP不在設定的IP範圍內
*IP衝突檢查
DHCP伺服器偵測系統
.與固定IP相同
.不同的DHCP伺服器發放相同的IP
Switch偵測系統方面亦會檢查IP衝突,包含:
.固定IP與固定IP
.固定IP與DHCP伺服器發放的IP
回到首頁