隨著便攜型無線路由器的普及,因其不占空間、價格便宜、配置靈活方便等特點,使得該類設備成為內部用戶私自擴容網絡或私建網中網的選擇。無線路由器私自接入是對原有網絡邊界的私自延伸和擴展,會對原有網絡帶來不可預知的安全風險,如何快速對此進行技術檢測,目前針對此類設備的檢測技術主要有以下兩種:
基于數據監聽
視頻流量分析設備就是采用此類技術,部署在前端設備接入匯聚交換機的出口處,可以監測和發現私接設備及其異常行為,異常行為包括端口掃描、異常業務訪問、訪問數據庫等非業務服務以及越權訪問業務系統管理服務等異常行為。
視頻流量分析設備采用旁路部署,可對網絡流量進行監聽和分析,對網絡中的數據包進行深度分析和檢測,適合部署在網絡出口,其原理是對數據視頻流量分析,根據特征字來區別正常和異常行為的訪問,依靠分析數據包頭及傳輸協議的某些特殊字段來進行判斷和區分隨身WIFI接入、智能手機接入以及NAT設備接入,如:
(1)用IP包的TTL字段變化檢測標準的NAT接入設備。
(2)用IP包的ID標識的跳變來確認用戶私接的設備臺數。
(3)用HTTP協議中的User-Agent字段來檢測私接上網的智能設備。
(4)根據隨身WIFI和免費WIFI的后門來識別隨身WIFI。
其優點在于:
(1)在監聽數據的覆蓋范圍內,能夠比較準確地發現部分智能手機以及隨身WIFI接入。
(2)能夠比較準確地識別NAT接入設備,并對通過NAT接入的數量進行統計。
缺點表現在:
(1)監聽數據的覆蓋范圍決定其檢測范圍,存在漏報,適合具有匯聚出口的接入網絡。
(2)因受限于檢測技術,可能存在誤報和漏報。
(3)主要是以檢測為主,不具備阻斷控制功能。
基于網絡掃描
以NMAP探測操作系統指紋技術為代表,通過分析TCP/IP的協議特征進行掃描識別,采集到的系統指紋特征也不盡相同,以此判斷目標機是否是NAT接入設備、智能手機設備、隨身WIFI接入設備和免費WIFI接入設備等。區別主要在于:
(1)AP或HUB方式
該方式基本會對外開放應用接口,主要以HTTP應用端口為主,目的便于自身的設備管理,技術檢測難度不大。
(2)NAT路由方式
對于NAT 設備私接檢測,系統通過遠程掃描方式可以快速報警和定位私自接入的 NAT 設備,包括 NAT 私接設備的 IP 地址、MAC 地址和接入的交換設備端口。
情景一:未開放任何端口,這是多數NAT接入設備的表現方式,檢測的技術難點在于:
① 因未對外開放任何端口,可采集到的技術特征有限。
② 需要區分NAT模式和防火墻模式,通過防火墻或訪問控制技術同樣可以
實現對全端口的屏蔽,二者在檢測技術特征上也不盡相同,需要加以區分,否則檢測結果會產生偏差和誤報。
情景二:采用端口映射方式開放應用端口,如HTTP、P2P、Telnet等,每一個或多個端口對應一類設備,多個端口可能對應多個不同類型設備,檢測的技術 難點在于:
① 通過映射端口檢測到的技術特征并不是路由設備自身的特征,而是該端口映射所對應設備的特征。
② 要求通過映射端口能夠對不同的接入設備進行區分,否則檢測會出現漏報。
基于網絡掃描檢測技術,其優點在于:
① 能夠比較準確地發現部分智能手機以及隨身WIFI接入,覆蓋范圍跟掃描范圍相關,適合大中型網絡,可作為檢查和管理工具使用。
② 能夠比較準確地識別經NAT接入的路由設備。
③ 能夠準確識別無線AP接入,并提供無線AP的SSID號。
④ 結合交換機端口定位技術可以對違規接入設備進行網絡定位和阻斷控制。
缺點是因采用遠程網絡掃描機制,存在漏報和誤報可能。
目前,針對非法NAT私接設備的檢測手段不多,且都無法保證100%的準確,即存在一定的誤報率,因此針對NAT私接設備的管理也就更加困難。原因在于,路由設備(特別是無線路由器)可以通過“MAC克隆+NAT接入方式”輕易突破基于交換機端口綁定準入控制的限制。為防止非法接入設備對視頻監控網絡造成危害,建議采用基于網絡掃描的檢測方法實現對非法接入設備進行檢測,以維護正常的網絡秩序。(作者:栗紅梅 黃小平)
