隨著便攜型無線路由器的普及,因其不占空間�、價格便宜、配置靈活方便等特點���,使得該類設(shè)備成為內(nèi)部用戶私自擴(kuò)容網(wǎng)絡(luò)或私建網(wǎng)中網(wǎng)的選擇�����。無線路由器私自接入是對原有網(wǎng)絡(luò)邊界的私自延伸和擴(kuò)展�,會對原有網(wǎng)絡(luò)帶來不可預(yù)知的安全風(fēng)險,如何快速對此進(jìn)行技術(shù)檢測����,目前針對此類設(shè)備的檢測技術(shù)主要有以下兩種:
基于數(shù)據(jù)監(jiān)聽
視頻流量分析設(shè)備就是采用此類技術(shù),部署在前端設(shè)備接入?yún)R聚交換機(jī)的出口處���,可以監(jiān)測和發(fā)現(xiàn)私接設(shè)備及其異常行為�����,異常行為包括端口掃描����、異常業(yè)務(wù)訪問����、訪問數(shù)據(jù)庫等非業(yè)務(wù)服務(wù)以及越權(quán)訪問業(yè)務(wù)系統(tǒng)管理服務(wù)等異常行為。
視頻流量分析設(shè)備采用旁路部署��,可對網(wǎng)絡(luò)流量進(jìn)行監(jiān)聽和分析,對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行深度分析和檢測�����,適合部署在網(wǎng)絡(luò)出口����,其原理是對數(shù)據(jù)視頻流量分析,根據(jù)特征字來區(qū)別正常和異常行為的訪問�����,依靠分析數(shù)據(jù)包頭及傳輸協(xié)議的某些特殊字段來進(jìn)行判斷和區(qū)分隨身WIFI接入�、智能手機(jī)接入以及NAT設(shè)備接入�����,如:
(1)用IP包的TTL字段變化檢測標(biāo)準(zhǔn)的NAT接入設(shè)備����。
(2)用IP包的ID標(biāo)識的跳變來確認(rèn)用戶私接的設(shè)備臺數(shù)。
(3)用HTTP協(xié)議中的User-Agent字段來檢測私接上網(wǎng)的智能設(shè)備�。
(4)根據(jù)隨身WIFI和免費WIFI的后門來識別隨身WIFI。
其優(yōu)點在于:
(1)在監(jiān)聽數(shù)據(jù)的覆蓋范圍內(nèi)��,能夠比較準(zhǔn)確地發(fā)現(xiàn)部分智能手機(jī)以及隨身WIFI接入。
(2)能夠比較準(zhǔn)確地識別NAT接入設(shè)備���,并對通過NAT接入的數(shù)量進(jìn)行統(tǒng)計�。
缺點表現(xiàn)在:
(1)監(jiān)聽數(shù)據(jù)的覆蓋范圍決定其檢測范圍�����,存在漏報���,適合具有匯聚出口的接入網(wǎng)絡(luò)��。
(2)因受限于檢測技術(shù)�����,可能存在誤報和漏報����。
(3)主要是以檢測為主����,不具備阻斷控制功能。
基于網(wǎng)絡(luò)掃描
以NMAP探測操作系統(tǒng)指紋技術(shù)為代表�,通過分析TCP/IP的協(xié)議特征進(jìn)行掃描識別�����,采集到的系統(tǒng)指紋特征也不盡相同�,以此判斷目標(biāo)機(jī)是否是NAT接入設(shè)備���、智能手機(jī)設(shè)備��、隨身WIFI接入設(shè)備和免費WIFI接入設(shè)備等�。區(qū)別主要在于:
(1)AP或HUB方式
該方式基本會對外開放應(yīng)用接口��,主要以HTTP應(yīng)用端口為主�����,目的便于自身的設(shè)備管理��,技術(shù)檢測難度不大�����。
(2)NAT路由方式
對于NAT 設(shè)備私接檢測��,系統(tǒng)通過遠(yuǎn)程掃描方式可以快速報警和定位私自接入的 NAT 設(shè)備�,包括 NAT 私接設(shè)備的 IP 地址、MAC 地址和接入的交換設(shè)備端口�����。
情景一:未開放任何端口�,這是多數(shù)NAT接入設(shè)備的表現(xiàn)方式,檢測的技術(shù)難點在于:
?���、?因未對外開放任何端口,可采集到的技術(shù)特征有限��。
?���、?需要區(qū)分NAT模式和防火墻模式,通過防火墻或訪問控制技術(shù)同樣可以
實現(xiàn)對全端口的屏蔽�,二者在檢測技術(shù)特征上也不盡相同,需要加以區(qū)分��,否則檢測結(jié)果會產(chǎn)生偏差和誤報���。
情景二:采用端口映射方式開放應(yīng)用端口�����,如HTTP��、P2P��、Telnet等��,每一個或多個端口對應(yīng)一類設(shè)備��,多個端口可能對應(yīng)多個不同類型設(shè)備��,檢測的技術(shù) 難點在于:
?�、?通過映射端口檢測到的技術(shù)特征并不是路由設(shè)備自身的特征����,而是該端口映射所對應(yīng)設(shè)備的特征。
?�、?要求通過映射端口能夠?qū)Σ煌慕尤朐O(shè)備進(jìn)行區(qū)分�����,否則檢測會出現(xiàn)漏報��。
基于網(wǎng)絡(luò)掃描檢測技術(shù)��,其優(yōu)點在于:
?����、?能夠比較準(zhǔn)確地發(fā)現(xiàn)部分智能手機(jī)以及隨身WIFI接入�����,覆蓋范圍跟掃描范圍相關(guān)�����,適合大中型網(wǎng)絡(luò)�����,可作為檢查和管理工具使用���。
?��、?能夠比較準(zhǔn)確地識別經(jīng)NAT接入的路由設(shè)備。
?��、?能夠準(zhǔn)確識別無線AP接入���,并提供無線AP的SSID號�����。
?���、?結(jié)合交換機(jī)端口定位技術(shù)可以對違規(guī)接入設(shè)備進(jìn)行網(wǎng)絡(luò)定位和阻斷控制�����。
缺點是因采用遠(yuǎn)程網(wǎng)絡(luò)掃描機(jī)制�����,存在漏報和誤報可能�����。
目前�,針對非法NAT私接設(shè)備的檢測手段不多��,且都無法保證100%的準(zhǔn)確,即存在一定的誤報率����,因此針對NAT私接設(shè)備的管理也就更加困難。原因在于���,路由設(shè)備(特別是無線路由器)可以通過“MAC克隆+NAT接入方式”輕易突破基于交換機(jī)端口綁定準(zhǔn)入控制的限制����。為防止非法接入設(shè)備對視頻監(jiān)控網(wǎng)絡(luò)造成危害��,建議采用基于網(wǎng)絡(luò)掃描的檢測方法實現(xiàn)對非法接入設(shè)備進(jìn)行檢測��,以維護(hù)正常的網(wǎng)絡(luò)秩序����。(作者:栗紅梅 黃小平)
