内网异常IP发现及边界安全防护提升
赵欣慧 王永翔 李旭辉
摘?要:内网信息安全威胁不仅来自于网络外部的攻击,很大一部分是网络内部的安全威胁,而后者更为隐蔽,更加难以发现,同时造成的危害也更为严重。内网异常IP的产生大多是由内部人员的操作而产生的,异常IP的存在很容易导致内外网安全隔离被打破,造成内网信息泄露。事实上内网IP安全很容易被忽略,其原因大多是缺乏相应的网络安全认知,最主要是缺乏一套有效的内网IP地址管理工具。文章从网管员实际工作中得出經验,研究出一个高效创新的内网异常IP管理手段,能够准确查找异常IP地址,并定位网络中的恶意攻击和网络故障,减少网管员负担,提升工作效率。
关键词:内网威胁;异常IP;网络故障;提升效率
1 背景
据统计,国内网络信息安全造成的损失70%源于网络内部人员泄密,内网数据泄露所造成的损失数以亿计。因此建立安全的内网网络环境,防范来自网络内部的安全威胁,已经是重中之重。
物理隔离的内网所面临的安全威胁既包括黑客攻击、病毒感染等,也包括内部人员泄密。现在内网主要采取边界防火墙等技术手段进行防护,但日益严峻的网安形势,使传统的防火墙越来越难以检测和阻挡。无论是Windows、Unix以及Linux系统都容易遭受网络攻击。而内网异常IP地址的存在确实大大增加了局域网被入侵的风险。因此一个有效的内网IP管理系统是十分必要的。本文从网管员日常繁琐的异常IP地址管理问题出发,特别是内网异常IP的发现和展示,开发了一套内网异常IP安全管理工具。
2 内网现状
2.1 异常IP产生原因
在内网网络办公环境中,内网终端用户的IP地址通常由网管员负责统一分配管理,网管员通过相关规章制度审批下发的IP地址才能被内网终端用户合法使用,此类用户被称为合法用户。相反没有经过网管员审批备案的IP地址出现在内网中都被视为异常IP地址。但在终端机器多数是Windows或Linux操作系统环境下,用户机器IP地址很容易发生变动,再加上厂家在设备运维中使用的管理口空闲IP地址、插手机形成的虚拟IP,这样就产生了内网异常IP地址。而现实中,在局域网中会同时存在办公内网和办公外网,有些部门会在办公室私接路由器,这样就产生私有IP地址,如果操作失误就会造成内外网通路,产生非法外联事件,因此异常IP的管理迫在眉睫。
2.2 异常IP带来的问题
在网络运行管理工作中,管理员负责管理内网用户IP地址的审批下发,只有经过网管员审批下发的IP地址才能被用户合法使用,否则都应视为IP非法使用。但由于windows操作系统下的终端IP地址很容易被更改,再加上内网有些部门办公室私接的路由器,和机房设备运维人员安装、调试、维护所留下的空闲IP等,都会造成IP地址非法使用的问题。这样会造成:(1)异常的IP地址不在网管员备案,无法进行通讯和查找。(2)造成IP地址冲突,干扰、破坏网络服务器和网络设备的正常运行。(3)冒用合法用户IP地址联网,使合法用户的权益受到侵害等。(4)被黑客冒用合法用户的IP地址,攻击内部网络。(5)网络故障无法准确定位。
2.3 现有管控手段
(1)IP-MAC地址绑定。网管员常用的技术手段是在可管理交换机上对内网合法IP地址进行IP地址和MAC地址绑定。同网段192.168.250.1/24的网络寻址是通过MAC地址来实现的,而不同段192.168.250.1/24—10.10.110.1/24之间的通讯才会用到IP地址寻址。在不修改MAC地址的情况下,通过IP-MAC地址绑定可以阻止用户IP地址变动。
(2)端口绑定。网管员通过交换机的端口—MAC地址绑定技术手段,可以阻止通过修改MAC地址来侵占合法用户IP地址的问题。
(3)划分办公局域网。划分Vlan而是管理与技术结合的手段。将相同办公室终端机器IP地址规划到到同一个VLAN上,可以有效的阻止其他网段异常IP侵入的行为。
(4)身份认证。为了避免直接授权使用IP地址的管理模式,通过合规和身份认证来多层次进行安全信息防护,能有效降低IP地址非法使用的危害。
(5)形成工作标准,内网终端禁止更改IP地址。IP地址与身份认证相结合,并通过网管中心制定的相关制度约束。
3 技术引入和研究内容
3.1 技术引入
在现有的局域网IP地址管理技术上,应该引入一个新型的管控工具,要能够快速发现网络中的异常IP地址,弥补人为查找的滞后性和局限性,及时发现恶意攻击等威胁事件,并记录相应日志。本文主要目的就是在分析内网内部的异常IP问题上设计一个内网异常IP管理工具,为信息管理人员掌握网络情况、发现并处理网络中的威胁事件提供了可靠依据,简化了工作流程,极大提高工作效率。
研究内容包括以下方面:(1)数据包的抓取及数据包解码分析。(2)内网异常IP的发现。在交换机的trunk口,通过数据抓包和分析,呈现每个VLAN的在线IP情况,发现内网中的异常IP,进而找出非法路由器。(3)网络威胁事件的研究。例入SQL注入攻击、ARP攻击等事件,通过数据抓包分析,研究相关事件的特征及原理。(4)终端识别,自动识别windows、linux、安卓、iphone等终端。(5)可视化展示。以报表、日志的形式记录用户的网络行为,管理员可进行安全审计。
3.2 研究过程
本次研究的内网异常IP安全防护辅助工具是在网络数据抓包分析的基础上,为了方便信息管理人员掌握网络的安全情况,提升网络的安全性。
具体过程如下:(1)研究数据包抓包及数据分析解码,这是本次研发的基础。(2)威胁事件及其通信原理研究,例如:例入SQL注入攻击、ARP攻击、恶意域名等。(3)确定研发总体框架及方案,对系统进行整体规划。(4)确定系统开发方案,对要实现的功能分模块开发。(5)开发的系统分模块功能测试。(6)分模块功能测试后,系统整体功能测试。(7)入网测试。(8)验收。
3.3 研究内容
本次研究包括内网异常IP发现、终端识别、网络端口扫描检测、网络故障定位和监控,实现边界安全防护提升等功能。
(1)异常IP发现。通过交换机trunk端口获取所有VLAN的信息,系统通过数据包解码分析实现IP资源统计区分,自主定义内网合法IP地址段和MAC地址,实现异常IP和MAC地址的发现,通过和交换机的配合实现异常IP的定位。并可以通过抓包分析识别网络中的windows、linux、安卓、iphone终端类型。
(2)威胁事件发现。通过深度网络会话关联分析、数据包解码分析,基于病毒、后门木马攻击、拒绝服务、恶意扫描等规则特性,从而对网络安全事件进行精准的定性分析,灵活的检测网络入侵。可以发现如特洛伊木马、冰河木马、灰鸽子木马、永恒之蓝木马、永恒之石木马等后门木马攻击;可以发现如ECHO_Cybercop_Scan、FTP_ADM_Scan、FTP_ISS_ScanHTTP_webspirs_request等可疑的扫描行为;可以检测到如尼姆达、拉面蠕虫、冲击波、Delphi梦魔等病毒;可以进行数据库攻击检测:SQL注入、猜解注入、数据库勒索、报警日志删除等数据库攻击。
(3)网络端口扫描检测。通过安全策略规则库,对网络端口扫描、后门木马、TCP、UDP等协议的渗透和攻击进行识别报警。
(4)网络故障定位。通过系统内置的网络专家诊断设置对ARP扫描、ARP广播风暴、IP地址冲突,IP回环通信等网络故障进行检测,利用矩阵图显示最大流量、最大节点数的TOP统计,用图形来可视化呈现网络故障。
(5)防火墙的联动。在通过对防火墙策略的数据解码和学习后,能够在发现威胁事件后自主生成防火墙的策略模板,實现机器对防火墙安全策略的自动配置,防火墙形成联动。
(6)可视化。对协议、网络流量等网络诸元的可视化分析,准确检测安全事件,有助于防御未知威胁。通过可视化的矩阵展示广播和异常会话的连接情况,直观的帮助我们分析网络异常状况。提供多种类型的阻断方式,并提供独立的存储空间单独保存阻断日志数据。
4 内网异常IP地址管理建议
(1)内网网管员要制定严格的IP地址管理办法,要终端用户IP地址、MAC地址、用户名等信息相对应。要有一套针对内网IP地址的备案下发、变更回收的处理办法,以及相对应的处罚措施。
(2)运用交换机相应技术功能,例如IP-MAC绑定等,重点监管多发事件用户非法行为。
(3)各办公室划分Vlan。将相同办公室终端机器IP地址规划到到同一个VLAN上,可以有效的阻止其他网段异常IP侵入的行为。
(4)部署本套IP管理工具。能够及时发现网络中的异常IP地址,弥补人为查找的滞后性和局限性,提高网络的安全可靠性,发现恶意攻击等威胁事件,并记录相应日志。
(5)身份认证,有效的身份认证机制,弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似,用户名和口令也属于容易盗用的资源。
(6)内部人员非法使用IP地址。网络管理员除有法律手段和技术手段,还拥有各种内部管理手段。如果单纯使用技术手段来防范IP地址的非法使用,必然产生高昂的系统投资成本和人员开支。因此,只有综合运用管理手段和技术手段,来处理IP地址非法使用问题,才能实现高可靠性的系统运行与低成本的管理维护的统一。
参考文献:
[1]关亮杰.浅析企业内网安全建设及其相关技术支持[J].珠江现代建设,2012(06).
[2]杨钰.基于IP地址的供电公司信息管理系统[J].软件,2017(11).
[3]李玮.涉密信息系统物理隔离防护的设计与实现[D].浙江工业大学,2013.
[4]赵永胜.内网非法外联安全监控系统的研究与设计[D].北京邮电大学,2010.
[5]王文.如何防止IP地址被盗用[J].福建电脑,2010(07).
