非法終端接入管控的三部曲：控、查、導

非法終端接入管控的三部曲：控、查、導

Jack zhai

一、問題的提出：

***者想要繞過網絡的邊界措施，直接***到網絡內部，途徑一般有兩個：一是內部的主機“主動”建立新通道，連接到外邊的網絡上，***者順著這個不受控“通道”進入網絡；二是外部***者能夠找到繞過邊界安全措施的新途徑(如管理漏洞等)，進入到網絡內部。

這兩種******方式在學術上有個響亮的名字---“隱秘通道”。

第一種“內部主動”的隱秘通道產生的原因有很多，如被感染***或蠕蟲的終端，廠家后門，被收買的“內鬼”，對方派來的間諜……防護的思路多數是從對內部終端主機的控制角度考慮，在終端上安裝監控軟件，關閉外聯通道，不安裝的就不允許接入網絡。

第二種“外部主動”的隱秘通道，多源于網絡管理的漏洞，所以必須從監管上下功夫。我們先看一下問題出在哪里：

1、  外部主機的接入方式：

1. 有線接入：外部主機直接接入網絡的交換機接口上(交換機接口可用)；

2. 無線接入：

     ***者破譯合法AP的密碼，通過無線接入網絡；

     內部主機終端上開啟無線代理建立“非法AP”，被外部主機接入，再通過內部主機代理接入網絡；

     利用交換機管理的漏洞，***者自己的建立“非法AP”，形成不可控的無線接入點；

2、  防護難點：

1. 外部主機不安裝我們的主機安全措施，不會主動上報它的信息，發現是難點；

2. 在MAC、IP地址都可以修改的情況下，網絡層面常常無法確認接入的主機是否是冒充的；

二、外部主機非法接入的安全防護思路設計

外部主機能夠非法接入，一般是利用網絡管理環節上的漏洞，獲得了“合法的”接入點。管理涉及多個方面，防護上也必須多方面相互結合：

• 控：終端接入網絡控制

• 查：

  非法終端監控

  無線空間監控

• 導：第三方運維接入管理---堡壘機

    對所有的終端接入網絡要控制，保證非授權者不能隨意進入網絡，這就是“控”，控是前提，是管理的基礎；針對不按要求接入的，要有能發現的能力，這就是“查”，查是防止管理缺陷的手段，這包括對有線網絡接入非法終端的發現，也包括對無線空間接入非法終端的發現；最后，好管理要疏導，不能單單是堵截。對于業務需要接入網絡的外部終端，建立特定的區域，在規定的環境內使用，這就是“導”。

1、“控”的方法

網絡接入一定是有網絡接入點的，對于有線網絡來說，就是有可以接入的交換機接口。要實現沒有授權的終端接入時，交換機拒絕為其工作，也就實現控制其非法接入的目的。主要的控制技術有幾種：

• 端口綁定MAC：禁止交換機端口的MAC地址學習功能，人工把MAC地址寫入交換機，這樣就只允許該MAC終端可以接入該端口；

• 適用于終端少的網絡，簡單易行；

• 運維管理成本高，并且無法限制***者修改自己網卡的MAC地址為合法的，也無法阻止***者先設法修改交換機的配置，讓自己的終端合法進入；

• 開啟802.1x協議：交換機的端口開始只允許認證包通過，當用戶通過身份認證后，才允許轉發數據包，這樣就屏蔽了網絡層的隨意接入；

• 管理方便，適合較大規模的網絡。同時在身份認證時，采用IP、MAC、身份ID綁定，進一步增加對終端的控制，解決***者修改MAC、IP冒充身份的問題；

• 這個方式可以應用到無線網絡上，如Wifi，在無線接入AP上開通802.1x，或連接到AC上，***者只有在身份認證后才能進入內部網絡；

• 需要所有的邊緣接入交換機都采用可網管型的，需要建立全網統一的身份認證管理系統；

• 若部分邊緣接入交換機安全不可控，或很容易被修改配置時，一般采用匯聚交換機上開通802.1x，可以保證上層網絡接入的可控，但下層網絡仍處于危險中，***者可以先感染合法終端，再作為跳板***上層網絡。

終端接入網路控制方案中，通過確認接入設備或用戶的身份，限制外來者的***。但網絡比較大，多部門管理時，邊緣交換機的配置管理往往不到位，無線接入點的私搭亂建，都為***者提供了可用的接入點。因此，能夠及時發現外來的登錄終端是必須的安全措施。

2、“查”的方法：有線網絡

當***者的終端接入到網絡上時，能發現它的蹤跡，主要的特征是它的MAC地址（***者一般會配置為內部合法的IP地址）。但MAC地址只在同網段內出現，無法在核心網絡中監控(三層)，處理的思路有兩種：

• 在身份認證過程中加入MAC信息。即在用戶身份認證時，將終端MAC地址作為設備的標識，與用戶身份一起送到身份認證服務器，并在認證后綁定在一起。這種方式在上節的終端準入網絡控制方案中，交換機開啟802.1x協議，一起實現終端MAC地址的控制；

• 建立MAC資源庫，監控非法MAC地址的出現。發現MAC地址可以有兩種方法：

• 利用網絡管理方式讀取邊緣交換機的FDB表，發現最新的MAC地址。方法簡單易行，但網絡較大時，接入交換機較多，需要設計成區域查詢，再匯總信息上報監控中心；

• 在每個網段的內設一個監聽端口，鏡像網關方向的鏈路流量，分析網段內所有流量數據包，發現新的MAC地址；

由于***者一般盜取合法用戶的IP，并進一步***網內的各種應用，因此除了監控非法MAC之外，還需要對終端的行為進行異常分析，發現冒充者。

綜上分析，非法終端監控的方案可以分為兩個部分：

• 非法終端掃描系統：通過定期查詢接入交換機，發現新入網的終端，并與資產數據庫查詢是否為非法接入終端；

• 終端異常行為分析系統：是一個大數據分析系統，通過非法終端監控來的終端位置信息，以及身份認證系統獲取的終端與用戶身份信息，建立用戶的行為基線，發現其異常行為信息。如登錄地點、登錄時間、終端與用戶是否統一等，從而發現***者冒用合法用戶信息登錄的行為。

3、“查”的方法：無線網絡

網絡中的“非法AP”常常是***進入網絡的跳板。由于“非法AP”的建立者，多是用戶為了自己工作的方便，如手機上網，移動設備上網等，通過自己的合法接入點，建立代理服務器，讓自己的多個設備可以同時工作。網絡管理者往往只能看到合法終端的接入，無法直接通過網絡發現其他非法接入設備。“非法AP”安全配置簡單，很容易被破譯，進而成為***者的***跳板。

無線空間監控方案是在網絡區域內，部署無線IDS，探測網絡空間內的各種無線信號，并區別是合法內部AP，還是非法AP。一旦發現非法AP，可以通過無線干擾信號，阻止該非法AP正常工作，讓接入該AP的終端無法正常通信，從而阻斷非法終端通過非法AP接入網絡。

由于無線信號容易受距離限制，或容易被阻擋隔離，因此在考慮部署無線IDS的時候，要注意無線信號的覆蓋區域，原則上是覆蓋網絡所有的接入節點。

4、“導”的方法：第三方運維區

信息化發展迅速，技術更新較快，無論是系統、網絡，甚至是安全，都常常要依托第三方的運維人員，故障處理、配置更改、日常維護…因此，不可能不讓第三方運維人員接入網絡，而且常常是用他們自己的終端，運維需要很多測試軟件與工具設備，都需要接入網絡并運行。

既然是必須有外來終端要接入網絡，又不可能要求第三方人員的終端按自己的安全管理規定安裝各種安全軟件，就需要給他們開辟一個特定的運維管理區域，讓他們在特定的空間內，既能完成運維工作，又能不影響網絡的安全管理。

堡壘機，是運維管理代理系統的俗稱。其原理很簡單：第三方運維人員在指定的運維區域內，接入自己的終端設備，必須先登錄堡壘機，再訪問要運維的設備或系統。堡壘機不僅管理設備的登錄口令，而且審計記錄了第三方運維人員的所有操作，包括命令行、圖形界面、專用CS客戶端等。

由于有堡壘機的隔離，網絡可以不用掃描第三方人員終端的MAC地址，他們只要知道要維護的設備或系統的IP地址、登錄口令就是可以自由工作了。

• 小結

阻止外部非法終端接入到網絡上，不僅可以阻止外部***者的直接***，而且可以降低***者的破壞能力，也解決了目前大多數用戶安全管理落實只靠管人，沒有技術支撐的難題。

防護外部主機非法接入從四個方面，部署的安全措施：

1、  外部終端接入網絡的準入控制，讓***者進不來；

2、  非法終端的監控，讓進來的***者無法存活；

3、  無線空間監控，讓***者從我們的網際空間內消失；

4、  運維堡壘機，給外來接入者一個合法的工作空間。