第一部分 二层交换机为主的网络环境 策略摘要
- 终端防控:封闭USB接口、安装ARP防火墙和防病毒软件、开启PC防火墙
- 内网防控:划分安全域、绑定IP&MAC地址、监控ARP日志、查找中毒PC
- 外网防控:过滤带危险文件后缀的URL、打开不良网址库、启用网关防病毒
1 实施步骤 1.1 划分安全域 根据联网设备的重要性和类型划分安全域,例如:领导、账务部门等重要部门的计算机分为一个域,普通员工的计算机根据部门分为一个或多个域,网管的计算机分为一个域,服务器单独分为一个或多个域,每个安全域均配置一台接入交换机连接本安全域内的计算机,为以后再连接网关或中心交换机做准备。安全域划分示意图详见下图。 1.2 客户端设置 1.2.1 分配IP地址 尽量按静态方式分配IP地址,每个安全域对应的网段均不相同,例如:安全域1的网段是192.168.1.0/24,缺省网关是192.168.1.254,安全域2的网段是192.168.2.0/24,缺省网关是192.168.2.254,安全域3的网段是192.168.3.0/24,缺省网关是192.168.3.254。客户端缺省网关IP就是网关各个网卡的IP。 如果只能是一个网段则可以通过多个相互隔离的透明网桥互联(需要网关支持)。 1.2.2 安装ARP防火墙 为实现网关和客户端的双向IP&MAC地址绑定,客户端最好安装ARP防火墙,或者手工通过命令绑定网关的IP&MAC地址,即在DOS窗口下输入命令:arp –s <网关IP> <网关MAC地址>,为保证永久生效,可将这条命令输入到c:\autoexec.bat文件中。同时确保及时更新杀毒软件病毒库,并启用PC防火墙。必要时可以封闭计算机的USB接口,以防止ARP病毒通过U盘传播。 1.3 登记网卡MAC地址和厂家信息 登记各个安全域内每台PC、笔记本、服务器的IP地址以及网卡的MAC地址和厂家信息,为以后根据ARP监控日志查找中毒计算机做准备。 1.4 设置网关策略 1.4.1 设置ARP策略 对每个安全域分别进行自动扫描,建立在线计算机的IP及MAC地址的对应关系,通过事先登记的信息确认后予以绑定,对于未上线的计算机可以手工绑定,剩余不用的IP地址均绑定为某个特殊的MAC地址,例如:AA:BB:CC:DD:EE:FF,以防止用户私改IP或外来访客笔记本随意接入内网。如果是透明接入,还可以对上一级网关的IP及MAC地址做绑定。 网关ARP策略设置如下图所示。 1.4.2 设置访问控制策略 1)缺省策略:除非允许否则拒绝。 2)内网策略:根据实际情况设置各个安全域之间的访问控制策略,例如:领导所在网段可以访问其它网段,其它网段不能访问领导所在网段,即单向ACL;访问公共OA、邮件或文件服务器的流量要经过IPS过滤等。 3)外网策略:只允许登记的IP地址上外网,禁止未分配的IP地址上外网;服务器只能被动接受访问,不能主动访问其它计算机,病毒库升级例外。 1.4.3 设置上网行为管理策略(需要网关支持) 由于ARP病毒可以在用户上网浏览时进行传播,因此要对用户的上网行为进行管理,一般只对JS、EXE、SWF等文件后缀进行过滤,同时可以打开恶意软件、病毒木马网站不良网址库,必要时可以开启网关防病毒功能,通过卡巴斯基等防病毒引擎对网络流量进行实时强制查毒,将ARP病毒拦截在网络入口处。某些有信誉的网站可以放到白名单列表里,以免影响正常工作效率。 1.4.4 设置报警信息 设置Syslog服务器、报警Email、手机等实时接收工具,方便实时接收报警信息。设置阻拦动作,当出现ARP异常时,阻拦该IP地址出外网。 1.5 日常维护 1.5.1 网关日志查询 打开网关的WEB管理界面,实时查看当前的ARP日志,或统计ARP日志中条数多的源IP地址,如果发现异常情况,可根据记录的MAC地址找到中毒的计算机,然后要把该计算机的网线拔掉,杀毒、重装系统后再联网。 1.5.2 查找中毒计算机 当联网用户反应不能上网或上网慢,则可能是已中ARP病毒的计算机上线并正在干扰其它计算机上网,可以在不能上网或上网慢的计算机上,通过arp及ping命令查证ARP欺骗情况,并找到已中ARP病毒的计算机。 步骤一:arp –a 打开Windows的DOS窗口,输入命令:arp –a,可显示当前ARP缓存的情况,以下两种情况表明这台计算机被ARP欺骗: (a)如果网关IP对应的MAC地址不是真实网关的MAC地址,而是局域网中另外一台计算机的MAC地址; (b)如果多个IP地址对应同一个MAC地址。 这样的MAC地址对应的计算机就是已中ARP病毒的机器,或是人工实施ARP欺骗的计算机。 此时,输入命令:ping <网关IP>,如果有反馈,而且time值超出正常值<1ms的几倍,例如:<10ms,则表明流量已经转发到已中毒计算机上,这也印证了这台计算机正在被ARP欺骗。 步骤二:arp –d & ping <网关IP> & arp -a 在DOS窗口,输入命令:arp –d,可删除当前所有ARP缓存,紧接着输入命令:ping <网关IP>,再输入命令:arp -a,可获得真实网关IP对应的MAC地址。如果ping有反馈,而且time值是正常值<1ms,则表明此时网关的MAC地址是真实网关的MAC地址。 步骤三:确认已中ARP病毒的计算机 为确认已中ARP病毒的计算机,可将被怀疑的计算机的网线拔出,再在不能上网或上网慢的计算机上重复arp –d、ping <网关IP>和arp –a命令,或者直接上网浏览,如果情况恢复正常则表明刚才拔出网线的计算机就是已中ARP病毒的计算机,需要对其杀毒、重装系统,之后才能连线上网。 2 方案特点 2.1 全面细致 对ARP病毒传播的各个途径都做了主动防范,事前规划、事中响应、事后清理一应俱全,终端、网关相互配合,内网、外网同时防控。 2.2 等级保护 对内部网络做了安全域的划分,减少了因个别计算机中毒而导致全网中断的风险,减少了因DMZ区个别服务器挂马而导致全部服务器中毒的风险,减少了内网不良分子恶意窃取单位机密信息的风险。
更多请看: http://www.trustcomputing.com.cn/ch/index.php/content/view/78/25/ |