非法終端接入管控的三部曲：控、查、導(dǎo)

非法終端接入管控的三部曲：控、查、導(dǎo)

Jack zhai

一、問(wèn)題的提出：

***者想要繞過(guò)網(wǎng)絡(luò)的邊界措施，直接***到網(wǎng)絡(luò)內(nèi)部，途徑一般有兩個(gè)：一是內(nèi)部的主機(jī)“主動(dòng)”建立新通道，連接到外邊的網(wǎng)絡(luò)上，***者順著這個(gè)不受控“通道”進(jìn)入網(wǎng)絡(luò)；二是外部***者能夠找到繞過(guò)邊界安全措施的新途徑(如管理漏洞等)，進(jìn)入到網(wǎng)絡(luò)內(nèi)部。

這兩種******方式在學(xué)術(shù)上有個(gè)響亮的名字---“隱秘通道”。

第一種“內(nèi)部主動(dòng)”的隱秘通道產(chǎn)生的原因有很多，如被感染***或蠕蟲的終端，廠家后門，被收買的“內(nèi)鬼”，對(duì)方派來(lái)的間諜……防護(hù)的思路多數(shù)是從對(duì)內(nèi)部終端主機(jī)的控制角度考慮，在終端上安裝監(jiān)控軟件，關(guān)閉外聯(lián)通道，不安裝的就不允許接入網(wǎng)絡(luò)。

第二種“外部主動(dòng)”的隱秘通道，多源于網(wǎng)絡(luò)管理的漏洞，所以必須從監(jiān)管上下功夫。我們先看一下問(wèn)題出在哪里：

1、  外部主機(jī)的接入方式：

1. 有線接入：外部主機(jī)直接接入網(wǎng)絡(luò)的交換機(jī)接口上(交換機(jī)接口可用)；

2. 無(wú)線接入：

     ***者破譯合法AP的密碼，通過(guò)無(wú)線接入網(wǎng)絡(luò)；

     內(nèi)部主機(jī)終端上開啟無(wú)線代理建立“非法AP”，被外部主機(jī)接入，再通過(guò)內(nèi)部主機(jī)代理接入網(wǎng)絡(luò)；

     利用交換機(jī)管理的漏洞，***者自己的建立“非法AP”，形成不可控的無(wú)線接入點(diǎn)；

2、  防護(hù)難點(diǎn)：

1. 外部主機(jī)不安裝我們的主機(jī)安全措施，不會(huì)主動(dòng)上報(bào)它的信息，發(fā)現(xiàn)是難點(diǎn)；

2. 在MAC、IP地址都可以修改的情況下，網(wǎng)絡(luò)層面常常無(wú)法確認(rèn)接入的主機(jī)是否是冒充的；

二、外部主機(jī)非法接入的安全防護(hù)思路設(shè)計(jì)

外部主機(jī)能夠非法接入，一般是利用網(wǎng)絡(luò)管理環(huán)節(jié)上的漏洞，獲得了“合法的”接入點(diǎn)。管理涉及多個(gè)方面，防護(hù)上也必須多方面相互結(jié)合：

• 控：終端接入網(wǎng)絡(luò)控制

• 查：

  非法終端監(jiān)控

  無(wú)線空間監(jiān)控

• 導(dǎo)：第三方運(yùn)維接入管理---堡壘機(jī)

    對(duì)所有的終端接入網(wǎng)絡(luò)要控制，保證非授權(quán)者不能隨意進(jìn)入網(wǎng)絡(luò)，這就是“控”，控是前提，是管理的基礎(chǔ)；針對(duì)不按要求接入的，要有能發(fā)現(xiàn)的能力，這就是“查”，查是防止管理缺陷的手段，這包括對(duì)有線網(wǎng)絡(luò)接入非法終端的發(fā)現(xiàn)，也包括對(duì)無(wú)線空間接入非法終端的發(fā)現(xiàn)；最后，好管理要疏導(dǎo)，不能單單是堵截。對(duì)于業(yè)務(wù)需要接入網(wǎng)絡(luò)的外部終端，建立特定的區(qū)域，在規(guī)定的環(huán)境內(nèi)使用，這就是“導(dǎo)”。

1、“控”的方法

網(wǎng)絡(luò)接入一定是有網(wǎng)絡(luò)接入點(diǎn)的，對(duì)于有線網(wǎng)絡(luò)來(lái)說(shuō)，就是有可以接入的交換機(jī)接口。要實(shí)現(xiàn)沒(méi)有授權(quán)的終端接入時(shí)，交換機(jī)拒絕為其工作，也就實(shí)現(xiàn)控制其非法接入的目的。主要的控制技術(shù)有幾種：

• 端口綁定MAC：禁止交換機(jī)端口的MAC地址學(xué)習(xí)功能，人工把MAC地址寫入交換機(jī)，這樣就只允許該MAC終端可以接入該端口；

• 適用于終端少的網(wǎng)絡(luò)，簡(jiǎn)單易行；

• 運(yùn)維管理成本高，并且無(wú)法限制***者修改自己網(wǎng)卡的MAC地址為合法的，也無(wú)法阻止***者先設(shè)法修改交換機(jī)的配置，讓自己的終端合法進(jìn)入；

• 開啟802.1x協(xié)議：交換機(jī)的端口開始只允許認(rèn)證包通過(guò)，當(dāng)用戶通過(guò)身份認(rèn)證后，才允許轉(zhuǎn)發(fā)數(shù)據(jù)包，這樣就屏蔽了網(wǎng)絡(luò)層的隨意接入；

• 管理方便，適合較大規(guī)模的網(wǎng)絡(luò)。同時(shí)在身份認(rèn)證時(shí)，采用IP、MAC、身份ID綁定，進(jìn)一步增加對(duì)終端的控制，解決***者修改MAC、IP冒充身份的問(wèn)題；

• 這個(gè)方式可以應(yīng)用到無(wú)線網(wǎng)絡(luò)上，如Wifi，在無(wú)線接入AP上開通802.1x，或連接到AC上，***者只有在身份認(rèn)證后才能進(jìn)入內(nèi)部網(wǎng)絡(luò)；

• 需要所有的邊緣接入交換機(jī)都采用可網(wǎng)管型的，需要建立全網(wǎng)統(tǒng)一的身份認(rèn)證管理系統(tǒng)；

• 若部分邊緣接入交換機(jī)安全不可控，或很容易被修改配置時(shí)，一般采用匯聚交換機(jī)上開通802.1x，可以保證上層網(wǎng)絡(luò)接入的可控，但下層網(wǎng)絡(luò)仍處于危險(xiǎn)中，***者可以先感染合法終端，再作為跳板***上層網(wǎng)絡(luò)。

終端接入網(wǎng)路控制方案中，通過(guò)確認(rèn)接入設(shè)備或用戶的身份，限制外來(lái)者的***。但網(wǎng)絡(luò)比較大，多部門管理時(shí)，邊緣交換機(jī)的配置管理往往不到位，無(wú)線接入點(diǎn)的私搭亂建，都為***者提供了可用的接入點(diǎn)。因此，能夠及時(shí)發(fā)現(xiàn)外來(lái)的登錄終端是必須的安全措施。

2、“查”的方法：有線網(wǎng)絡(luò)

當(dāng)***者的終端接入到網(wǎng)絡(luò)上時(shí)，能發(fā)現(xiàn)它的蹤跡，主要的特征是它的MAC地址（***者一般會(huì)配置為內(nèi)部合法的IP地址）。但MAC地址只在同網(wǎng)段內(nèi)出現(xiàn)，無(wú)法在核心網(wǎng)絡(luò)中監(jiān)控(三層)，處理的思路有兩種：

• 在身份認(rèn)證過(guò)程中加入MAC信息。即在用戶身份認(rèn)證時(shí)，將終端MAC地址作為設(shè)備的標(biāo)識(shí)，與用戶身份一起送到身份認(rèn)證服務(wù)器，并在認(rèn)證后綁定在一起。這種方式在上節(jié)的終端準(zhǔn)入網(wǎng)絡(luò)控制方案中，交換機(jī)開啟802.1x協(xié)議，一起實(shí)現(xiàn)終端MAC地址的控制；

• 建立MAC資源庫(kù)，監(jiān)控非法MAC地址的出現(xiàn)。發(fā)現(xiàn)MAC地址可以有兩種方法：

• 利用網(wǎng)絡(luò)管理方式讀取邊緣交換機(jī)的FDB表，發(fā)現(xiàn)最新的MAC地址。方法簡(jiǎn)單易行，但網(wǎng)絡(luò)較大時(shí)，接入交換機(jī)較多，需要設(shè)計(jì)成區(qū)域查詢，再匯總信息上報(bào)監(jiān)控中心；

• 在每個(gè)網(wǎng)段的內(nèi)設(shè)一個(gè)監(jiān)聽端口，鏡像網(wǎng)關(guān)方向的鏈路流量，分析網(wǎng)段內(nèi)所有流量數(shù)據(jù)包，發(fā)現(xiàn)新的MAC地址；

由于***者一般盜取合法用戶的IP，并進(jìn)一步***網(wǎng)內(nèi)的各種應(yīng)用，因此除了監(jiān)控非法MAC之外，還需要對(duì)終端的行為進(jìn)行異常分析，發(fā)現(xiàn)冒充者。

綜上分析，非法終端監(jiān)控的方案可以分為兩個(gè)部分：

• 非法終端掃描系統(tǒng)：通過(guò)定期查詢接入交換機(jī)，發(fā)現(xiàn)新入網(wǎng)的終端，并與資產(chǎn)數(shù)據(jù)庫(kù)查詢是否為非法接入終端；

• 終端異常行為分析系統(tǒng)：是一個(gè)大數(shù)據(jù)分析系統(tǒng)，通過(guò)非法終端監(jiān)控來(lái)的終端位置信息，以及身份認(rèn)證系統(tǒng)獲取的終端與用戶身份信息，建立用戶的行為基線，發(fā)現(xiàn)其異常行為信息。如登錄地點(diǎn)、登錄時(shí)間、終端與用戶是否統(tǒng)一等，從而發(fā)現(xiàn)***者冒用合法用戶信息登錄的行為。

3、“查”的方法：無(wú)線網(wǎng)絡(luò)

網(wǎng)絡(luò)中的“非法AP”常常是***進(jìn)入網(wǎng)絡(luò)的跳板。由于“非法AP”的建立者，多是用戶為了自己工作的方便，如手機(jī)上網(wǎng)，移動(dòng)設(shè)備上網(wǎng)等，通過(guò)自己的合法接入點(diǎn)，建立代理服務(wù)器，讓自己的多個(gè)設(shè)備可以同時(shí)工作。網(wǎng)絡(luò)管理者往往只能看到合法終端的接入，無(wú)法直接通過(guò)網(wǎng)絡(luò)發(fā)現(xiàn)其他非法接入設(shè)備。“非法AP”安全配置簡(jiǎn)單，很容易被破譯，進(jìn)而成為***者的***跳板。

無(wú)線空間監(jiān)控方案是在網(wǎng)絡(luò)區(qū)域內(nèi)，部署無(wú)線IDS，探測(cè)網(wǎng)絡(luò)空間內(nèi)的各種無(wú)線信號(hào)，并區(qū)別是合法內(nèi)部AP，還是非法AP。一旦發(fā)現(xiàn)非法AP，可以通過(guò)無(wú)線干擾信號(hào)，阻止該非法AP正常工作，讓接入該AP的終端無(wú)法正常通信，從而阻斷非法終端通過(guò)非法AP接入網(wǎng)絡(luò)。

由于無(wú)線信號(hào)容易受距離限制，或容易被阻擋隔離，因此在考慮部署無(wú)線IDS的時(shí)候，要注意無(wú)線信號(hào)的覆蓋區(qū)域，原則上是覆蓋網(wǎng)絡(luò)所有的接入節(jié)點(diǎn)。

4、“導(dǎo)”的方法：第三方運(yùn)維區(qū)

信息化發(fā)展迅速，技術(shù)更新較快，無(wú)論是系統(tǒng)、網(wǎng)絡(luò)，甚至是安全，都常常要依托第三方的運(yùn)維人員，故障處理、配置更改、日常維護(hù)…因此，不可能不讓第三方運(yùn)維人員接入網(wǎng)絡(luò)，而且常常是用他們自己的終端，運(yùn)維需要很多測(cè)試軟件與工具設(shè)備，都需要接入網(wǎng)絡(luò)并運(yùn)行。

既然是必須有外來(lái)終端要接入網(wǎng)絡(luò)，又不可能要求第三方人員的終端按自己的安全管理規(guī)定安裝各種安全軟件，就需要給他們開辟一個(gè)特定的運(yùn)維管理區(qū)域，讓他們?cè)谔囟ǖ目臻g內(nèi)，既能完成運(yùn)維工作，又能不影響網(wǎng)絡(luò)的安全管理。

堡壘機(jī)，是運(yùn)維管理代理系統(tǒng)的俗稱。其原理很簡(jiǎn)單：第三方運(yùn)維人員在指定的運(yùn)維區(qū)域內(nèi)，接入自己的終端設(shè)備，必須先登錄堡壘機(jī)，再訪問(wèn)要運(yùn)維的設(shè)備或系統(tǒng)。堡壘機(jī)不僅管理設(shè)備的登錄口令，而且審計(jì)記錄了第三方運(yùn)維人員的所有操作，包括命令行、圖形界面、專用CS客戶端等。

由于有堡壘機(jī)的隔離，網(wǎng)絡(luò)可以不用掃描第三方人員終端的MAC地址，他們只要知道要維護(hù)的設(shè)備或系統(tǒng)的IP地址、登錄口令就是可以自由工作了。

• 小結(jié)

阻止外部非法終端接入到網(wǎng)絡(luò)上，不僅可以阻止外部***者的直接***，而且可以降低***者的破壞能力，也解決了目前大多數(shù)用戶安全管理落實(shí)只靠管人，沒(méi)有技術(shù)支撐的難題。

防護(hù)外部主機(jī)非法接入從四個(gè)方面，部署的安全措施：

1、  外部終端接入網(wǎng)絡(luò)的準(zhǔn)入控制，讓***者進(jìn)不來(lái)；

2、  非法終端的監(jiān)控，讓進(jìn)來(lái)的***者無(wú)法存活；

3、  無(wú)線空間監(jiān)控，讓***者從我們的網(wǎng)際空間內(nèi)消失；

4、  運(yùn)維堡壘機(jī)，給外來(lái)接入者一個(gè)合法的工作空間。