【IT168 资讯】随着网络的普及,懂得网络技术的人也越来越多,网络中出现的私拉乱接现象也随之增多,这种现象我们常称为偷网。网络私拉乱接发现难、查处难,严重影响了网络的正常运行,然而,魔高一尺,道高一丈,艾泰科技HiPER 510与安全型交换机SG 2124,助您解决这一难题。
网络私拉乱接的表现形式:
中小企业或出租房的局域网中,在规定接电脑的交换机端口上,用户不直接连电脑,转而接上一台交换机,在这台私自安装的交换机上再连接众多电脑,若路由器或交换机上均没有身份验证的基本功能,则私自安装的交换机可以带动众多电脑分享网络资源,影响正常接入网络的用户使用网络。若路由器上做了合法用户电脑的IP/MAC绑定,那么用户通过修改电脑的IP或MAC,也可以使得未授权的电脑冒充做了IP/MAC绑定的电脑使用网络资源;更有甚者,偷网者使用ARP扫描软件,将局域网其他合法用户的电脑的IP/MAC扫描得到后,将多台非法接入网络的电脑修改IP和MAC,伪装成合法用户的电脑,不仅窃取了网络资源,还造成了合法用户电脑的IP或MAC冲突,而无法正常接入网络,严重影响到正常的工作与生活。
解决方案:
艾泰科技近期推出的针对小型/SOHO型企业、宽带社区、出租屋等网络应用环境量身设计的宽带网关/路由器HiPER 510,适用于20台电脑以下网络环境。HiPER 510采用专业嵌入式硬件平台、ReOS高性能网络操作系统,集上网行为管理、网络安全管理、网络维护管理于一身。上网行为管理、个性带宽管理、即插即用、PPPoE Server等多种企业级功能,满足SOHO级用户共享上网、网络管理需求。对于网络私拉乱接的问题,可在HiPER 510上通过两种方法来应对。
1、将合法用户电脑的IP与MAC进行静态绑定,形成上网白名单,然后将未做IP/MAC绑定的用户视为未授权上网的用户,即可达到禁止非法用户上网的目的。
HiPER 510 IP/MAC绑定
2、使用PPPoE Server功能,给合法的用户分配账号、密码,使得合法用户可通过电脑的宽带连接方式拨号到HiPER 510后上网,未经授权上网的用户没有得到账号及密码的情况下,无法使用网络。
除路由器在网络中发挥一定作用之外,还可依靠艾泰安全联动型交换机SG 2124将安全、管控策略深入到局域网的底层,对局域网用户的电脑直接负责。通过在SG 2124交换机上设置局域网合法用户电脑的IP地址、MAC地址及所连交换机的PORT端口的三元绑定,即可形成IP-MAC、MAC-PORT、IP-PORT三方两两之间的静态对应法则。交换机接收数据包的过程中,IP、MAC、PORT其中若有一项不能匹配上绑定法则,则交换机拒绝相关数据通过,即可达到彻底铲除网络私拉乱接的现象。
1、在SG 2124交换机上配置IP/MAC/PORT三元绑定操作前,首先需要启用ARP欺骗防御功能。
SG 2124 启用ARP欺骗防御
2、在ARP欺骗防御页面中,扫描网络后,将所得的信息执行IP/MAC/PORT全部绑定操作,即可达到三元绑定的效果。并且可以在ARP欺骗防御、MAC管理、IP地址过滤这三个页面中,分别查询到IP-MAC绑定法则、MAC-PORT绑定法则、IP-PORT绑定法则。
SG 2124 ARP欺骗防御——扫描网络
SG 2124 ARP欺骗防御——IP/MAC/PORT三元绑定
SG 2124 MAC管理——MAC/PORT绑定
SG 2124 IP地址过滤——IP/PORT绑定
实施效果:
由上图中,我们可看到做了IP/MAC/PORT三元绑定的用户,在交换机中分别形成了IP-MAC、MAC-PORT、IP-PORT的绑定法则。若交换机2号端口被用户私自连接了一台交换机,并且接了多台电脑,但由于该端口只允许IP地址为192.168.16.234,MAC地址为00-23-8b-f2-71-50这唯一的一台电脑的数据通过,所以即使如此,私自连接的多台电脑的数据无法通过交换机的这个端口,从而实现了彻底解决网络中私拉乱接的问题。