公司办公网络arp木马防治方案20120519

公司办公网络arp木马防治方案20120519

                                                                                                                                                                                                 By lai

            从2012-5-16下午开始，公司网络遭受了arp木马欺骗攻击，造成大量用户无法正常上网，结合公司网络现状，有如下3点需要解决的问题：

1、目前办公网络是一个大局域网（用户电脑、服务器都在一个网段），客户端规模的200个左右，比如一旦发生arp欺骗攻击会造成大量用户无法上网；

2、目前公司网络的接入准入制度没有建立，出现问题无法找到出现问题的电脑和人。也没法控制外来人员的网络访问行为；

3、目前在公司出口路由器的位置无法进行全网抓包分析，不利于定位问题根源；  

就本次arp木马攻击和今后的网络安全，需要对公司办公网络进行规范改造：

实施时间：2012-5-19（周六）下班后

大体有如下二种方案：

一、临时解决方案--arp 网关MAC地址静态绑定

该方法具体操作已经共享到公司群里。

优点：快速及时保证用户能上网

缺点：每次重启电脑后需要手动绑定；win7不同电脑的idx值不一样（不同电脑的网卡数量、连接到网络的网卡不一样）没法统一bat脚本；只能在公司使用，如果不删除绑定条目的话，在家不能上网；不是长远的解决方法。  

二、综合解决方案--划分vlan、ip+mac+人绑定、网络准入机制、抓包、arp动态检测、木马病毒扫描、用户限速、服务器和办公网络隔离

1、划分vlan，把公司大局域网划分多个的网段，减少广播风暴，增强网络的安全性

具体：按楼层划分4个vlan（或者按交换机划分），外加一个服务器vlan

优点：一个vlan出现arp攻击不会影响其他vlan的用户，缩小了故障电脑的范围，便于进行网络管理。

缺点：操作稍微复杂些，需要交换机路由器支持（我们的交换机和路由器都支持）。

 

2、ip+mac+人绑定

优点：便于根据mac地址、ip地址找到问题用户

缺点：需要手工统计

3、网络准入机制

只允许第2条绑定后的用户上网，新加用户需要网络准入登记

优点：可以控制绑定之外用户的上网，保证网络的安全

缺点：新增加用户需要去登记，流程上麻烦点

 

4、全网抓包分析

在出口路由器位置把全网流量做端口镜像，镜像端口接网管工作站，在网管工作站上进行抓包分析，定位问题源头。

优点：在需要的时候可以分析全网流量，找出问题源头

缺点：需要一台主机做网管工作站，需要一定的协议数据分析基础

 

5、arp动态监测

a、在路由器上开启arp动态监测功能，路由器默认每50ms发送一次

优点：把arp木马攻击的频率降低，减少掉线的时间

缺点：开启此功能对路由器的性能有少许影响

b、在网管工作站安装360木马防火墙，实时监测办公网络是否遭受arp攻击

优点：360免费，在出现arp攻击时能及时知道

缺点：需要一台网管工作站主机

 

6、需要用户对自己的电脑进行木马病毒全盘扫描

 

7、用户限速

因目前服务器的一些流量也走公司网络，部分用户有下载行为，导致网络堵塞，用户上网体验不好。目前也有限速（下行1024kbps，上行2048kbps），有些偏大，512kbps就能保证正常办公流量。调整到512kbps，如影响到正常办公，再行调大。

 

8、服务器和办公网络隔离

目前正在推进服务器与公司网络隔离的工作，顺利的话下周能够完成；将其他服务器单独划分到一个vlan里面，与办公网络隔离。