盗用MAC地址是一直局域网管理里一个比较棘手的问题,而且总是没有简单的方法能够避免这些现象,说起来真的是一个很让网络管理员头痛的问题。
交换机端口绑定MAC地址是一个很彻底的好办法,但只有智能交换机才有端口绑定MAC地址功能,如果全部换智能交换机的话我想是一笔不小的投资,一般的企业也不会为避免盗用MAC现象而投入资金更换网络设备,而且绑定端口后还会给网管带来很大的不便,如果电脑位置动一下,就要跟着修改端口绑定记录,无形中给管理员增加了很大的工作量。
宽带提供商在接入设备上会做这样的投资和设置,我们当地的网通LAN就是采用这种方式,把每个端口划分成一个单独的VLAN,并把端口绑定MAC。这样的安全性确实很高。因为作为他们来说,每被盗用一个MAC地址,他们就会有直接的经济损失,而作为一般的企业,网络只是用来辅助工作的,而并不是一种公司的产业。所以按他们的做法去做是不现实的。
现在通过宽带路由器去控制网基本上是采用IP过滤和MAC过滤,有些人认为把IP和MAC地址绑定起来可以解决盗用IP或MAC问题,但如果有人把IP和MAC一起改的话,那就束手无策了,路由器根本无法判别哪个是真的哪个是假的,就象是“真假悟空”一样,难以分辨。
我公司原来使用宽带路由器,但盗用MAC地址的现象很频繁,MAC地址冲突后,会出现网络时断时通,PING后丢包很严重,表面上很象线路问题。虽然可以通过公司规章制度去约束这种行为,但往往要网络管理员上报这些违归行为,这样做会恶化同事关系,在同一个公司里工作,同事关系搞不好也是一大忌,到时候万一要去麻烦别人的时候你就会发现做什么事情都不顺,因此给自己留条后路也是必要的,无奈中的无奈,只能通过技术办法去解决这个技术问题啦。
现在我在公司改用CCPROXY代理上网,其实用代理服务器上网很早就用过了,以前路由器价格昂贵,所以宽带共享很多都是使用代理服务器,自从宽带路由器普及后,就不再使用代理服务器了,因为总是有人说宽带路由器有什么样什么样的好处,真想不到今天又会回过来使用代理服务器,现在采用账户名+密码+MAC绑定的方式认证上网权限,这样做在原来通过MAC地址控制上网的基础上,多了一个用户名密码环节,这样会大大增加非法上网者的难度。单单盗用MAC地址是没用的,如果密码被盗,那么管理员可以在代理服务器上修改密码,这样主动权还是掌握在管理员手里,象以前那样只通过MAC控制上网权限,有时候处理起来是很被动的。虽然通过端口代理上网比直接使用路由器设置复杂些,因为有些软件根本不支持代理方式,但装了permeo-Driver-combo-win_4_2_2.zip这个软件后,不需要在客户机上设置烦琐的代理服务器,基本能做到和使用路由器那样的方便。CCPROXY还有一个好处是针对不同的机器可以做不同的设置,如控制连接数,控制带宽,控制上网时间,控制过滤网站等等,而一般的宽带路由器只能做到批量控制,不能对不同的电脑分配不同的权限。
没有评论:
发表评论