非法终端接入管控的三部曲:控、查、导

简介:

非法终端接入管控的三部曲:控、查、导

 

Jack zhai

 

一、问题的提出:

入侵者想要绕过网络的边界措施,直接入侵到网络内部,途径一般有两个:一是内部的主机“主动”建立新通道,连接到外边的网络上,入侵者顺着这个不受控“通道”进入网络;二是外部入侵者能够找到绕过边界安全措施的新途径(如管理漏洞等),进入到网络内部。

这两种入侵攻击方式在学术上有个响亮的名字---“隐秘通道”。

第一种“内部主动”的隐秘通道产生的原因有很多,如被感染木马或蠕虫的终端,厂家后门,被收买的“内鬼”,对方派来的间谍……防护的思路多数是从对内部终端主机的控制角度考虑,在终端上安装监控软件,关闭外联通道,不安装的就不允许接入网络。

第二种“外部主动”的隐秘通道,多源于网络管理的漏洞,所以必须从监管上下功夫。我们先看一下问题出在哪里:

 

1、  外部主机的接入方式:

  1. 有线接入:外部主机直接接入网络的交换机接口上(交换机接口可用)

  2. 无线接入:

      入侵者破译合法AP的密码,通过无线接入网络;

      内部主机终端上开启无线代理建立“非法AP”,被外部主机接入,再通过内部主机代理接入网络;

      利用交换机管理的漏洞,入侵者自己的建立“非法AP”,形成不可控的无线接入点;

2、  防护难点:

  1. 外部主机不安装我们的主机安全措施,不会主动上报它的信息,发现是难点;

  2. MACIP地址都可以修改的情况下,网络层面常常无法确认接入的主机是否是冒充的;

 

二、外部主机非法接入的安全防护思路设计

外部主机能够非法接入,一般是利用网络管理环节上的漏洞,获得了“合法的”接入点。管理涉及多个方面,防护上也必须多方面相互结合:

  • 控:终端接入网络控制

  • 查:

    非法终端监控

    无线空间监控

  • 导:第三方运维接入管理---堡垒机

    对所有的终端接入网络要控制,保证非授权者不能随意进入网络,这就是“控”,控是前提,是管理的基础;针对不按要求接入的,要有能发现的能力,这就是“查”,查是防止管理缺陷的手段,这包括对有线网络接入非法终端的发现,也包括对无线空间接入非法终端的发现;最后,好管理要疏导,不能单单是堵截。对于业务需要接入网络的外部终端,建立特定的区域,在规定的环境内使用,这就是“导”。

 

1、“控”的方法

网络接入一定是有网络接入点的,对于有线网络来说,就是有可以接入的交换机接口。要实现没有授权的终端接入时,交换机拒绝为其工作,也就实现控制其非法接入的目的。主要的控制技术有几种:

  • 端口绑定MAC:禁止交换机端口的MAC地址学习功能,人工把MAC地址写入交换机,这样就只允许该MAC终端可以接入该端口;

wKioL1Z3zuaw0yzCAABt6jv9sBY443.gif

  • 适用于终端少的网络,简单易行;

  • 运维管理成本高,并且无法限制入侵者修改自己网卡的MAC地址为合法的,也无法阻止入侵者先设法修改交换机的配置,让自己的终端合法进入;

  • 开启802.1x协议:交换机的端口开始只允许认证包通过,当用户通过身份认证后,才允许转发数据包,这样就屏蔽了网络层的随意接入;

wKioL1Z3zy3y3UlHAAC-1DD5VIA832.gif

  • 管理方便,适合较大规模的网络。同时在身份认证时,采用IPMAC、身份ID绑定,进一步增加对终端的控制,解决入侵者修改MACIP冒充身份的问题;

  • 这个方式可以应用到无线网络上,如Wifi,在无线接入AP上开通802.1x,或连接到AC上,入侵者只有在身份认证后才能进入内部网络;

  • 需要所有的边缘接入交换机都采用可网管型的,需要建立全网统一的身份认证管理系统;

  • 若部分边缘接入交换机安全不可控,或很容易被修改配置时,一般采用汇聚交换机上开通802.1x,可以保证上层网络接入的可控,但下层网络仍处于危险中,入侵者可以先感染合法终端,再作为跳板入侵上层网络。

 

终端接入网路控制方案中,通过确认接入设备或用户的身份,限制外来者的入侵。但网络比较大,多部门管理时,边缘交换机的配置管理往往不到位,无线接入点的私搭乱建,都为入侵者提供了可用的接入点。因此,能够及时发现外来的登录终端是必须的安全措施。

 

2、“查”的方法:有线网络

当入侵者的终端接入到网络上时,能发现它的踪迹,主要的特征是它的MAC地址(入侵者一般会配置为内部合法的IP地址)。但MAC地址只在同网段内出现,无法在核心网络中监控(三层),处理的思路有两种:

  • 在身份认证过程中加入MAC信息。即在用户身份认证时,将终端MAC地址作为设备的标识,与用户身份一起送到身份认证服务器,并在认证后绑定在一起。这种方式在上节的终端准入网络控制方案中,交换机开启802.1x协议,一起实现终端MAC地址的控制;

  • 建立MAC资源库,监控非法MAC地址的出现。发现MAC地址可以有两种方法:

  • 利用网络管理方式读取边缘交换机的FDB表,发现最新的MAC地址。方法简单易行,但网络较大时,接入交换机较多,需要设计成区域查询,再汇总信息上报监控中心;

  • 在每个网段的内设一个监听端口,镜像网关方向的链路流量,分析网段内所有流量数据包,发现新的MAC地址;

由于入侵者一般盗取合法用户的IP,并进一步入侵网内的各种应用,因此除了监控非法MAC之外,还需要对终端的行为进行异常分析,发现冒充者。

 

综上分析,非法终端监控的方案可以分为两个部分:

  • 非法终端扫描系统:通过定期查询接入交换机,发现新入网的终端,并与资产数据库查询是否为非法接入终端;

  • 终端异常行为分析系统:是一个大数据分析系统,通过非法终端监控来的终端位置信息,以及身份认证系统获取的终端与用户身份信息,建立用户的行为基线,发现其异常行为信息。如登录地点、登录时间、终端与用户是否统一等,从而发现入侵者冒用合法用户信息登录的行为。

wKiom1Z3z0fQ_UCgAAJU5OXsswU134.gif

 

 

3、“查”的方法:无线网络

网络中的“非法AP”常常是入侵进入网络的跳板。由于“非法AP”的建立者,多是用户为了自己工作的方便,如手机上网,移动设备上网等,通过自己的合法接入点,建立代理服务器,让自己的多个设备可以同时工作。网络管理者往往只能看到合法终端的接入,无法直接通过网络发现其他非法接入设备。“非法AP”安全配置简单,很容易被破译,进而成为入侵者的入侵跳板。wKiom1Z3z2qSHL_TAACkvkr8rDM418.gif

无线空间监控方案是在网络区域内,部署无线IDS,探测网络空间内的各种无线信号,并区别是合法内部AP,还是非法AP。一旦发现非法AP,可以通过无线干扰信号,阻止该非法AP正常工作,让接入该AP的终端无法正常通信,从而阻断非法终端通过非法AP接入网络。

由于无线信号容易受距离限制,或容易被阻挡隔离,因此在考虑部署无线IDS的时候,要注意无线信号的覆盖区域,原则上是覆盖网络所有的接入节点。

 

4、“导”的方法:第三方运维区

信息化发展迅速,技术更新较快,无论是系统、网络,甚至是安全,都常常要依托第三方的运维人员,故障处理、配置更改、日常维护因此,不可能不让第三方运维人员接入网络,而且常常是用他们自己的终端,运维需要很多测试软件与工具设备,都需要接入网络并运行。

既然是必须有外来终端要接入网络,又不可能要求第三方人员的终端按自己的安全管理规定安装各种安全软件,就需要给他们开辟一个特定的运维管理区域,让他们在特定的空间内,既能完成运维工作,又能不影响网络的安全管理。

wKioL1Z3z5vjutluAAFdnaBIpYU570.gif

堡垒机,是运维管理代理系统的俗称。其原理很简单:第三方运维人员在指定的运维区域内,接入自己的终端设备,必须先登录堡垒机,再访问要运维的设备或系统。堡垒机不仅管理设备的登录口令,而且审计记录了第三方运维人员的所有操作,包括命令行、图形界面、专用CS客户端等。

由于有堡垒机的隔离,网络可以不用扫描第三方人员终端的MAC地址,他们只要知道要维护的设备或系统的IP地址、登录口令就是可以自由工作了。

 

 

  • 小结

阻止外部非法终端接入到网络上,不仅可以阻止外部入侵者的直接入侵,而且可以降低入侵者的破坏能力,也解决了目前大多数用户安全管理落实只靠管人,没有技术支撑的难题。

防护外部主机非法接入从四个方面,部署的安全措施:

1、  外部终端接入网络的准入控制,让入侵者进不来;

2、  非法终端的监控,让进来的入侵者无法存活;

3、  无线空间监控,让入侵者从我们的网际空间内消失;

4、  运维堡垒机,给外来接入者一个合法的工作空间。

 










本文转自 zhaisj 51CTO博客,原文链接:http://blog.51cto.com/zhaisj/1726898,如需转载请自行联系原作者

目录
相关文章
|
9月前
|
运维 Cloud Native 数据管理
云原生数据库:下一代数据管理的趋势与挑战
【9月更文挑战第4天】云原生数据库作为下一代数据管理的趋势,正以其独特的优势引领着数据管理领域的变革。然而,在快速发展的同时,云原生数据库也面临着诸多挑战。未来,随着技术的不断进步和市场的不断成熟,云原生数据库将不断优化和完善,为企业数字化转型提供更加高效、安全、灵活的数据管理服务。同时,我们也需要关注并解决其面临的挑战,推动云原生数据库技术的健康发展。
|
9月前
|
机器学习/深度学习 人工智能 自动驾驶
深度学习中的卷积神经网络(CNN)及其在图像识别中的应用
【9月更文挑战第19天】在人工智能的浩瀚星海中,卷积神经网络(CNN)如同一颗璀璨的星辰,照亮了图像处理的天空。本文将深入CNN的核心,揭示其在图像识别领域的强大力量。通过浅显易懂的语言和直观的比喻,我们将一同探索CNN的奥秘,并见证它如何在现实世界中大放异彩。
|
6月前
|
网络虚拟化
配置BGP/MPLS IP VPN示例
本文介绍了通过配置MPLS VPN实现分部与总部之间的通信需求。具体要求为分部1和分部2只能与总部通信,而分部之间不能通信。配置思路包括使用BGP协议传递路由,并将各分部分别划分到不同的VPN实例中(VPN1、VPN2、VPN3),通过设置RD和Target属性确保路由隔离。操作步骤涵盖设备IP地址配置、MPLS域内互通、PE上的VPN实例配置、接口绑定、MP-IBGP配置、CE与PE间的路由交换及MPLS LDP功能配置。最终验证显示,同一VPN内的CE设备可以相互通信,不同VPN的CE设备则无法通信,满足了组网需求。
配置BGP/MPLS IP VPN示例
|
10月前
|
网络协议
交换机ARP学习异常,看网工大佬是如何处理的?
交换机ARP学习异常,看网工大佬是如何处理的?
213 2
|
8月前
|
运维 Kubernetes 负载均衡
深入探索Kubernetes在微服务架构中的应用
【10月更文挑战第18天】深入探索Kubernetes在微服务架构中的应用
255 0
|
存储 传感器 监控
网络安全产品之认识防非法外联系统
非法外联是指计算机或其他内部网络设备在未经授权的情况下私自连接到外部网络或设备,如互联网、其他公共网络或非法设备等。这种行为可能涉及违反法律法规、公司政策或安全规定。非法外联的危害包括可能导致数据泄露、恶意软件感染、非法访问和攻击等安全风险,同时可能违反合规要求并导致法律责任。 非法外联的形式多种多样,包括但不限于通过拨号上网、双网卡上网、GPRS、红外等方式进行连接。这些非法连接不仅可能暴露内部网络于外部攻击的风险,而且可能使内部数据面临泄露的风险,特别是当员工使用个人设备连接企业内部网络时。因此,防止非法外联对于维护网络安全和保护组织利益至关重要。
338 0
|
并行计算 算法 测试技术
【C 言专栏】优化 C 语言程序性能的策略
【5月更文挑战第2天】本文探讨了优化C语言程序性能的策略,包括算法优化(选择合适的时间和空间复杂度)、代码结构优化(减少函数调用,合理使用循环)、内存管理优化(合理分配和及时释放内存)、编译器优化(选择优化级别,内联函数,循环展开)、数据结构优化(根据需求选择数组、哈希表或堆)、并行计算优化(多线程、多进程和MPI编程)以及性能测试与分析(使用性能分析工具、基准测试和分析执行路径)。通过这些方法,可以提升C语言程序的效率和运行速度。
360 1
|
安全 网络安全 数据安全/隐私保护
|
存储 调度 云计算
云计算:技术解析与实践应用
云计算:技术解析与实践应用
420 0