非法终端接入管控的三部曲：控、查、导

非法终端接入管控的三部曲：控、查、导

Jack zhai

一、问题的提出：

***者想要绕过网络的边界措施，直接***到网络内部，途径一般有两个：一是内部的主机“主动”建立新通道，连接到外边的网络上，***者顺着这个不受控“通道”进入网络；二是外部***者能够找到绕过边界安全措施的新途径(如管理漏洞等)，进入到网络内部。

这两种******方式在学术上有个响亮的名字---“隐秘通道”。

第一种“内部主动”的隐秘通道产生的原因有很多，如被感染***或蠕虫的终端，厂家后门，被收买的“内鬼”，对方派来的间谍……防护的思路多数是从对内部终端主机的控制角度考虑，在终端上安装监控软件，关闭外联通道，不安装的就不允许接入网络。

第二种“外部主动”的隐秘通道，多源于网络管理的漏洞，所以必须从监管上下功夫。我们先看一下问题出在哪里：

1、  外部主机的接入方式：

1. 有线接入：外部主机直接接入网络的交换机接口上(交换机接口可用)；

2. 无线接入：

     ***者破译合法AP的密码，通过无线接入网络；

     内部主机终端上开启无线代理建立“非法AP”，被外部主机接入，再通过内部主机代理接入网络；

     利用交换机管理的漏洞，***者自己的建立“非法AP”，形成不可控的无线接入点；

2、  防护难点：

1. 外部主机不安装我们的主机安全措施，不会主动上报它的信息，发现是难点；

2. 在MAC、IP地址都可以修改的情况下，网络层面常常无法确认接入的主机是否是冒充的；

二、外部主机非法接入的安全防护思路设计

外部主机能够非法接入，一般是利用网络管理环节上的漏洞，获得了“合法的”接入点。管理涉及多个方面，防护上也必须多方面相互结合：

• 控：终端接入网络控制

• 查：

  非法终端监控

  无线空间监控

• 导：第三方运维接入管理---堡垒机

    对所有的终端接入网络要控制，保证非授权者不能随意进入网络，这就是“控”，控是前提，是管理的基础；针对不按要求接入的，要有能发现的能力，这就是“查”，查是防止管理缺陷的手段，这包括对有线网络接入非法终端的发现，也包括对无线空间接入非法终端的发现；最后，好管理要疏导，不能单单是堵截。对于业务需要接入网络的外部终端，建立特定的区域，在规定的环境内使用，这就是“导”。

1、“控”的方法

网络接入一定是有网络接入点的，对于有线网络来说，就是有可以接入的交换机接口。要实现没有授权的终端接入时，交换机拒绝为其工作，也就实现控制其非法接入的目的。主要的控制技术有几种：

• 端口绑定MAC：禁止交换机端口的MAC地址学习功能，人工把MAC地址写入交换机，这样就只允许该MAC终端可以接入该端口；

• 适用于终端少的网络，简单易行；

• 运维管理成本高，并且无法限制***者修改自己网卡的MAC地址为合法的，也无法阻止***者先设法修改交换机的配置，让自己的终端合法进入；

• 开启802.1x协议：交换机的端口开始只允许认证包通过，当用户通过身份认证后，才允许转发数据包，这样就屏蔽了网络层的随意接入；

• 管理方便，适合较大规模的网络。同时在身份认证时，采用IP、MAC、身份ID绑定，进一步增加对终端的控制，解决***者修改MAC、IP冒充身份的问题；

• 这个方式可以应用到无线网络上，如Wifi，在无线接入AP上开通802.1x，或连接到AC上，***者只有在身份认证后才能进入内部网络；

• 需要所有的边缘接入交换机都采用可网管型的，需要建立全网统一的身份认证管理系统；

• 若部分边缘接入交换机安全不可控，或很容易被修改配置时，一般采用汇聚交换机上开通802.1x，可以保证上层网络接入的可控，但下层网络仍处于危险中，***者可以先感染合法终端，再作为跳板***上层网络。

终端接入网路控制方案中，通过确认接入设备或用户的身份，限制外来者的***。但网络比较大，多部门管理时，边缘交换机的配置管理往往不到位，无线接入点的私搭乱建，都为***者提供了可用的接入点。因此，能够及时发现外来的登录终端是必须的安全措施。

2、“查”的方法：有线网络

当***者的终端接入到网络上时，能发现它的踪迹，主要的特征是它的MAC地址（***者一般会配置为内部合法的IP地址）。但MAC地址只在同网段内出现，无法在核心网络中监控(三层)，处理的思路有两种：

• 在身份认证过程中加入MAC信息。即在用户身份认证时，将终端MAC地址作为设备的标识，与用户身份一起送到身份认证服务器，并在认证后绑定在一起。这种方式在上节的终端准入网络控制方案中，交换机开启802.1x协议，一起实现终端MAC地址的控制；

• 建立MAC资源库，监控非法MAC地址的出现。发现MAC地址可以有两种方法：

• 利用网络管理方式读取边缘交换机的FDB表，发现最新的MAC地址。方法简单易行，但网络较大时，接入交换机较多，需要设计成区域查询，再汇总信息上报监控中心；

• 在每个网段的内设一个监听端口，镜像网关方向的链路流量，分析网段内所有流量数据包，发现新的MAC地址；

由于***者一般盗取合法用户的IP，并进一步***网内的各种应用，因此除了监控非法MAC之外，还需要对终端的行为进行异常分析，发现冒充者。

综上分析，非法终端监控的方案可以分为两个部分：

• 非法终端扫描系统：通过定期查询接入交换机，发现新入网的终端，并与资产数据库查询是否为非法接入终端；

• 终端异常行为分析系统：是一个大数据分析系统，通过非法终端监控来的终端位置信息，以及身份认证系统获取的终端与用户身份信息，建立用户的行为基线，发现其异常行为信息。如登录地点、登录时间、终端与用户是否统一等，从而发现***者冒用合法用户信息登录的行为。

3、“查”的方法：无线网络

网络中的“非法AP”常常是***进入网络的跳板。由于“非法AP”的建立者，多是用户为了自己工作的方便，如手机上网，移动设备上网等，通过自己的合法接入点，建立代理服务器，让自己的多个设备可以同时工作。网络管理者往往只能看到合法终端的接入，无法直接通过网络发现其他非法接入设备。“非法AP”安全配置简单，很容易被破译，进而成为***者的***跳板。

无线空间监控方案是在网络区域内，部署无线IDS，探测网络空间内的各种无线信号，并区别是合法内部AP，还是非法AP。一旦发现非法AP，可以通过无线干扰信号，阻止该非法AP正常工作，让接入该AP的终端无法正常通信，从而阻断非法终端通过非法AP接入网络。

由于无线信号容易受距离限制，或容易被阻挡隔离，因此在考虑部署无线IDS的时候，要注意无线信号的覆盖区域，原则上是覆盖网络所有的接入节点。

4、“导”的方法：第三方运维区

信息化发展迅速，技术更新较快，无论是系统、网络，甚至是安全，都常常要依托第三方的运维人员，故障处理、配置更改、日常维护…因此，不可能不让第三方运维人员接入网络，而且常常是用他们自己的终端，运维需要很多测试软件与工具设备，都需要接入网络并运行。

既然是必须有外来终端要接入网络，又不可能要求第三方人员的终端按自己的安全管理规定安装各种安全软件，就需要给他们开辟一个特定的运维管理区域，让他们在特定的空间内，既能完成运维工作，又能不影响网络的安全管理。

堡垒机，是运维管理代理系统的俗称。其原理很简单：第三方运维人员在指定的运维区域内，接入自己的终端设备，必须先登录堡垒机，再访问要运维的设备或系统。堡垒机不仅管理设备的登录口令，而且审计记录了第三方运维人员的所有操作，包括命令行、图形界面、专用CS客户端等。

由于有堡垒机的隔离，网络可以不用扫描第三方人员终端的MAC地址，他们只要知道要维护的设备或系统的IP地址、登录口令就是可以自由工作了。

• 小结

阻止外部非法终端接入到网络上，不仅可以阻止外部***者的直接***，而且可以降低***者的破坏能力，也解决了目前大多数用户安全管理落实只靠管人，没有技术支撑的难题。

防护外部主机非法接入从四个方面，部署的安全措施：

1、  外部终端接入网络的准入控制，让***者进不来；

2、  非法终端的监控，让进来的***者无法存活；

3、  无线空间监控，让***者从我们的网际空间内消失；

4、  运维堡垒机，给外来接入者一个合法的工作空间。