隨著便攜型無(wú)線路由器的普及��,因其不占空間�����、價(jià)格便宜���、配置靈活方便等特點(diǎn)�����,使得該類(lèi)設(shè)備成為內(nèi)部用戶私自擴(kuò)容網(wǎng)絡(luò)或私建網(wǎng)中網(wǎng)的選擇�。無(wú)線路由器私自接入是對(duì)原有網(wǎng)絡(luò)邊界的私自延伸和擴(kuò)展����,會(huì)對(duì)原有網(wǎng)絡(luò)帶來(lái)不可預(yù)知的安全風(fēng)險(xiǎn)��,如何快速對(duì)此進(jìn)行技術(shù)檢測(cè)��,目前針對(duì)此類(lèi)設(shè)備的檢測(cè)技術(shù)主要有以下兩種:
基于數(shù)據(jù)監(jiān)聽(tīng)
視頻流量分析設(shè)備就是采用此類(lèi)技術(shù)��,部署在前端設(shè)備接入?yún)R聚交換機(jī)的出口處�����,可以監(jiān)測(cè)和發(fā)現(xiàn)私接設(shè)備及其異常行為,異常行為包括端口掃描����、異常業(yè)務(wù)訪問(wèn)、訪問(wèn)數(shù)據(jù)庫(kù)等非業(yè)務(wù)服務(wù)以及越權(quán)訪問(wèn)業(yè)務(wù)系統(tǒng)管理服務(wù)等異常行為����。
視頻流量分析設(shè)備采用旁路部署,可對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)聽(tīng)和分析�����,對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行深度分析和檢測(cè)�����,適合部署在網(wǎng)絡(luò)出口,其原理是對(duì)數(shù)據(jù)視頻流量分析�,根據(jù)特征字來(lái)區(qū)別正常和異常行為的訪問(wèn),依靠分析數(shù)據(jù)包頭及傳輸協(xié)議的某些特殊字段來(lái)進(jìn)行判斷和區(qū)分隨身WIFI接入�、智能手機(jī)接入以及NAT設(shè)備接入,如:
(1)用IP包的TTL字段變化檢測(cè)標(biāo)準(zhǔn)的NAT接入設(shè)備�����。
(2)用IP包的ID標(biāo)識(shí)的跳變來(lái)確認(rèn)用戶私接的設(shè)備臺(tái)數(shù)��。
(3)用HTTP協(xié)議中的User-Agent字段來(lái)檢測(cè)私接上網(wǎng)的智能設(shè)備���。
(4)根據(jù)隨身WIFI和免費(fèi)WIFI的后門(mén)來(lái)識(shí)別隨身WIFI���。
其優(yōu)點(diǎn)在于:
(1)在監(jiān)聽(tīng)數(shù)據(jù)的覆蓋范圍內(nèi),能夠比較準(zhǔn)確地發(fā)現(xiàn)部分智能手機(jī)以及隨身WIFI接入����。
(2)能夠比較準(zhǔn)確地識(shí)別NAT接入設(shè)備,并對(duì)通過(guò)NAT接入的數(shù)量進(jìn)行統(tǒng)計(jì)���。
缺點(diǎn)表現(xiàn)在:
(1)監(jiān)聽(tīng)數(shù)據(jù)的覆蓋范圍決定其檢測(cè)范圍�����,存在漏報(bào)�����,適合具有匯聚出口的接入網(wǎng)絡(luò)�。
(2)因受限于檢測(cè)技術(shù),可能存在誤報(bào)和漏報(bào)����。
(3)主要是以檢測(cè)為主�����,不具備阻斷控制功能����。
基于網(wǎng)絡(luò)掃描
以NMAP探測(cè)操作系統(tǒng)指紋技術(shù)為代表,通過(guò)分析TCP/IP的協(xié)議特征進(jìn)行掃描識(shí)別���,采集到的系統(tǒng)指紋特征也不盡相同���,以此判斷目標(biāo)機(jī)是否是NAT接入設(shè)備��、智能手機(jī)設(shè)備����、隨身WIFI接入設(shè)備和免費(fèi)WIFI接入設(shè)備等����。區(qū)別主要在于:
(1)AP或HUB方式
該方式基本會(huì)對(duì)外開(kāi)放應(yīng)用接口,主要以HTTP應(yīng)用端口為主�,目的便于自身的設(shè)備管理,技術(shù)檢測(cè)難度不大��。
(2)NAT路由方式
對(duì)于NAT 設(shè)備私接檢測(cè)���,系統(tǒng)通過(guò)遠(yuǎn)程掃描方式可以快速報(bào)警和定位私自接入的 NAT 設(shè)備����,包括 NAT 私接設(shè)備的 IP 地址�、MAC 地址和接入的交換設(shè)備端口。
情景一:未開(kāi)放任何端口�,這是多數(shù)NAT接入設(shè)備的表現(xiàn)方式,檢測(cè)的技術(shù)難點(diǎn)在于:
?���、?因未對(duì)外開(kāi)放任何端口�����,可采集到的技術(shù)特征有限�。
?、?需要區(qū)分NAT模式和防火墻模式,通過(guò)防火墻或訪問(wèn)控制技術(shù)同樣可以
實(shí)現(xiàn)對(duì)全端口的屏蔽�,二者在檢測(cè)技術(shù)特征上也不盡相同,需要加以區(qū)分����,否則檢測(cè)結(jié)果會(huì)產(chǎn)生偏差和誤報(bào)。
情景二:采用端口映射方式開(kāi)放應(yīng)用端口��,如HTTP���、P2P、Telnet等�,每一個(gè)或多個(gè)端口對(duì)應(yīng)一類(lèi)設(shè)備,多個(gè)端口可能對(duì)應(yīng)多個(gè)不同類(lèi)型設(shè)備��,檢測(cè)的技術(shù) 難點(diǎn)在于:
?�、?通過(guò)映射端口檢測(cè)到的技術(shù)特征并不是路由設(shè)備自身的特征��,而是該端口映射所對(duì)應(yīng)設(shè)備的特征。
?�、?要求通過(guò)映射端口能夠?qū)Σ煌慕尤朐O(shè)備進(jìn)行區(qū)分�,否則檢測(cè)會(huì)出現(xiàn)漏報(bào)。
基于網(wǎng)絡(luò)掃描檢測(cè)技術(shù)�����,其優(yōu)點(diǎn)在于:
?���、?能夠比較準(zhǔn)確地發(fā)現(xiàn)部分智能手機(jī)以及隨身WIFI接入,覆蓋范圍跟掃描范圍相關(guān)�,適合大中型網(wǎng)絡(luò),可作為檢查和管理工具使用�����。
?����、?能夠比較準(zhǔn)確地識(shí)別經(jīng)NAT接入的路由設(shè)備��。
③ 能夠準(zhǔn)確識(shí)別無(wú)線AP接入��,并提供無(wú)線AP的SSID號(hào)�。
④ 結(jié)合交換機(jī)端口定位技術(shù)可以對(duì)違規(guī)接入設(shè)備進(jìn)行網(wǎng)絡(luò)定位和阻斷控制���。
缺點(diǎn)是因采用遠(yuǎn)程網(wǎng)絡(luò)掃描機(jī)制�,存在漏報(bào)和誤報(bào)可能�。
目前,針對(duì)非法NAT私接設(shè)備的檢測(cè)手段不多���,且都無(wú)法保證100%的準(zhǔn)確���,即存在一定的誤報(bào)率,因此針對(duì)NAT私接設(shè)備的管理也就更加困難��。原因在于�����,路由設(shè)備(特別是無(wú)線路由器)可以通過(guò)“MAC克隆+NAT接入方式”輕易突破基于交換機(jī)端口綁定準(zhǔn)入控制的限制�。為防止非法接入設(shè)備對(duì)視頻監(jiān)控網(wǎng)絡(luò)造成危害���,建議采用基于網(wǎng)絡(luò)掃描的檢測(cè)方法實(shí)現(xiàn)對(duì)非法接入設(shè)備進(jìn)行檢測(cè)��,以維護(hù)正常的網(wǎng)絡(luò)秩序��。(作者:栗紅梅 黃小平)
