关于检测网络内部私接随身WIFI行为的技术探讨
2013年,360公司推出了首款硬件版的随身WIFI,因其很好的满足了智能手机可随时通过WIFI上网的需求,加上其安装和使用上的便利和便携性,随身WIFI很快成为了智能手机的上网伴侣,到京东网上搜一下随身WIFI,就可以了解此类设备的出货量,360随身WIFI的用户评价数量已超过了30万,由此可见其推广和普及程度。
目前随身WIFI已发展为两大类:硬件版和免费的软件版。其中硬件版的典型代表有360随身WIFI、小米WIFI、小度WIFI等;免费软件版的典型代表有360免费WIFI、金山猎豹、WIFI共享精灵、WIFI共享大师、160WIFI等。
终端用户私自接入和使用随身WIFI,是对原有网络边界的私自延伸和扩展,会对原有网络带来不可预知的安全风险,如何快速对此进行技术检测,下面就其检测技术做个探讨:
(1)基于数据监听
通过旁路监听、分析网络内部的数据包进行检测,适合有公共网络出口的网络(如互联网),其原理是依靠分析数据包包头及传输协议的某些特殊字段来进行判断和区分随身WIFI接入、智能手机接入以及NAT设备接入,如:
1)用IP包的TTL字段变化检测标准的NAT接入设备。
2)用IP包的ID标识的跳变来确认用户私接的设备台数。
3)用HTTP协议中的User-Agent字段来检测私接上网的智能设备。
4)根据随身WIFI和免费WIFI的后门,来识别随身WIFI。
其优点在于:
1)能够比较准确发现部分智能手机以及随身WIFI接入,主要跟监听数据包的覆盖范围相关;
2)能够比较准确识别NAT接入设备,并对通过NAT接入的数量进行统计。
缺点表现在:
1)监听数据的覆盖范围决定其检测范围,存在漏报,适合有公共出口链路的网络,不适合作为检查工具使用;
2)因受限于检测技术,存在误报的可能;
3)主要是以检测为主,基本不具备针对源头的阻断控制能力。
深信服的上网行为管理系统就是采用此类技术,部署位置大多在互联网出口处,可以限制私接WIFI设备无法访问互联网,但无法控制WIFI设备私自接入内部网络。
(2)基于客户端代理
通过在终端桌面系统安装客户端代理来监管无线网络的使用,主要是针对终端自身无线网卡、私接无线WIFI以及使用免费无线WIFI的监管,其优点在于:
1)检测时间短,能够快速发现上述使用无线网络的违规行为,不会产生误报;
2)响应速度快,可以对上述违规使用无线网络的行为进行快速阻断控制。
缺点表现在:
1)无法针对未安装客户端代理的终端桌面系统进行管控;
2)无法针对无线路由设备的私接进行监管,因为此类设备无法安装客户端代理;
3)实施和维护的工作量大,因客户端代理容易被卸载等原因,影响整体监管效果,容易产生漏报。
北信源的桌面管理系统就是采用此类技术,部署在终端PC上,可以限制使用无线网卡、随身WIFI以及免费WIFI,但无法限制私接无线路由设备。
(3)基于网络扫描
主要是通过ICMP、SNMP、TCP以及UDP扫描技术,借鉴操作系统指纹识别技术形成本地的协议特征库,以此判断目标机是否是NAT接入设备、智能手机设备、随身WIFI接入设备和免费WIFI接入设备等。
其优点在于:
1)能够比较准确发现部分智能手机以及随身WIFI接入,覆盖范围跟扫描范围相关,适合大中型网络,可作为检查和管理工具使用;
2)能够比较准确识别经NAT接入的路由设备;
3)能够准确识别无线AP接入,并提供无线AP的SSID号。
4)结合交换机端口定位技术可以对违规接入设备进行网络定位和阻断控制。
缺点表现在:
1)因采用远程网络扫描机制,存在漏报和误报可能;
网方华信的网络边界完整性自动检查与管理系统主要采用网络扫描技术,并可根据用户需要提供客户端代理,既可以作为检查工具,也可以作为常态化部署的管理工具。