定位違規(guī)電腦

引言：公司為實(shí)現(xiàn)內(nèi)部資源共享，同時(shí)防止內(nèi)部資料外流，組建了專(zhuān)供內(nèi)部使用的資源網(wǎng)。未進(jìn)行實(shí)名注冊(cè)的用戶和主機(jī)MAC地址未在防火墻上綁定的電腦無(wú)法訪問(wèn)局域網(wǎng)外資源。但網(wǎng)絡(luò)監(jiān)測(cè)部門(mén)發(fā)現(xiàn)我部局域網(wǎng)內(nèi)某電腦連接了互聯(lián)網(wǎng)。經(jīng)排查得知，該用戶使用手機(jī)連接電腦，并開(kāi)啟了USB上網(wǎng)功能，導(dǎo)致內(nèi)部電腦連接了互聯(lián)網(wǎng)。

公司為實(shí)現(xiàn)內(nèi)部資源共享，同時(shí)防止內(nèi)部資料外流，組建了專(zhuān)供內(nèi)部使用的資源網(wǎng)。此網(wǎng)有專(zhuān)用的服務(wù)器、路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備，與互聯(lián)網(wǎng)物理隔離。內(nèi)部電腦要上資源網(wǎng)需要安裝實(shí)名認(rèn)證軟件。為防止人員將內(nèi)部電腦連接互聯(lián)網(wǎng)，實(shí)名認(rèn)證軟件具有定時(shí)向資源網(wǎng)和互聯(lián)網(wǎng)上監(jiān)測(cè)終端發(fā)送主機(jī)名、IP地址、網(wǎng)卡MAC地址等主機(jī)信息的功能。未進(jìn)行實(shí)名注冊(cè)的用戶和主機(jī)MAC地址未在防火墻上綁定的電腦無(wú)法訪問(wèn)局域網(wǎng)外資源，但可以訪問(wèn)局域網(wǎng)內(nèi)部資源。

故障現(xiàn)象

某日，網(wǎng)絡(luò)監(jiān)測(cè)部門(mén)在互聯(lián)網(wǎng)上通過(guò)監(jiān)測(cè)終端，發(fā)現(xiàn)我部局域網(wǎng)內(nèi)某電腦連接了互聯(lián)網(wǎng)，并將該電腦的主機(jī)名、IP地址、MAC地址發(fā)給了我們，責(zé)成我部盡快將其找到，并上報(bào)相關(guān)情況。

故障排查

為了找到該電腦，我們首先查看了IP地址所在的具體部門(mén)。因?yàn)閱挝坏木钟蚓W(wǎng)由8個(gè)C類(lèi)地址組成，主機(jī)數(shù)量很多。為了便于管理，在建網(wǎng)初期，已為各部門(mén)劃分了不同的地址段。通過(guò)比對(duì)查找，發(fā)現(xiàn)雖然此IP地址屬于甲部門(mén)，但確實(shí)不是該部門(mén)的電腦，肯定有人違規(guī)使用了其他部門(mén)的地址?？磥?lái)從IP地址已經(jīng)無(wú)法找到問(wèn)題電腦了。

由于要訪問(wèn)局域網(wǎng)外資源網(wǎng)信息的電腦都在防火墻上進(jìn)行了綁定，并有實(shí)名登記，如果此電腦曾經(jīng)通過(guò)路由器出局域網(wǎng)，肯定綁定了MAC地址。于是將該電腦的MAC地址與防火墻中的MAC地址綁定表進(jìn)行對(duì)比，也未找到相同的，看來(lái)又一個(gè)希望破滅了。猜測(cè)該電腦可能還在線，Ping該電腦的IP地址，但未能Ping通，看來(lái)不在線。經(jīng)過(guò)大家的討論和分析，認(rèn)為此電腦如果是我單位某部門(mén)的，那么與此電腦同批采購(gòu)的電腦的MAC地址的前幾位應(yīng)該是相同的。因?yàn)橥慌瓮黄放频碾娔X所用網(wǎng)卡很可能是同一廠家的，其前3組用來(lái)表示網(wǎng)絡(luò)廠商標(biāo)識(shí)的16進(jìn)制數(shù)應(yīng)該相同。

故障解決

用局域網(wǎng)查看工具軟件查看局域網(wǎng)內(nèi)所有在線電腦的IP地址和MAC地址，確實(shí)發(fā)現(xiàn)有兩臺(tái)電腦MAC地址的前幾位與問(wèn)題電腦相同。通過(guò)查看登記，這兩臺(tái)電腦也在同一個(gè)部門(mén)。于是我們直接前往該部門(mén)所在辦公室，發(fā)現(xiàn)辦公桌上有三臺(tái)電腦，兩臺(tái)在用，一臺(tái)關(guān)機(jī)。經(jīng)過(guò)檢查，問(wèn)題電腦就是它。

原來(lái)，某人用USB線將手機(jī)與電腦相連，本來(lái)只想將手機(jī)內(nèi)的照片傳到電腦里，卻開(kāi)啟了USB上網(wǎng)功能，導(dǎo)致內(nèi)部電腦連接了互聯(lián)網(wǎng)。

經(jīng)驗(yàn)總結(jié)

問(wèn)題電腦終于找到了，但問(wèn)題還沒(méi)有完，給我們留下了很多思索。為什么在局域網(wǎng)中定位一臺(tái)內(nèi)部電腦這么復(fù)雜？為什么會(huì)出現(xiàn)內(nèi)部電腦外連事件呢？我想主要有三點(diǎn)啟示：一是要規(guī)范內(nèi)部電腦及其入網(wǎng)管理。每臺(tái)投入使用的內(nèi)部電腦都應(yīng)登記在冊(cè)，特別是MAC地址，并嚴(yán)格按劃分的IP地址進(jìn)行設(shè)置，不得使用非本部門(mén)的IP。二是在技術(shù)方面，將每臺(tái)入網(wǎng)的內(nèi)部電腦MAC地址與對(duì)應(yīng)交換機(jī)端口進(jìn)行綁定，在交換機(jī)上進(jìn)行相關(guān)設(shè)置，使未綁定的電腦無(wú)法入網(wǎng)。三是進(jìn)行安全保密教育。不得將手機(jī)、無(wú)線網(wǎng)卡等可上網(wǎng)設(shè)備與內(nèi)部電腦互聯(lián)，防止因誤操作導(dǎo)致違規(guī)上網(wǎng)。