基于内网扫描和内网检测的非法外联监控方案.pdfVIP

基于内网扫描和内网检测的 非法外联监控方案 |正蹄胡建钩 西门子中国研究院北京 1∞102 摘 要 本文分析了墨子譬户端Agent和基于内网扫描两大樊非法外联监烧的角洁，并望重点付析了摆于 内网扫描加外网愉测万洁的优缺点，针对基于内网扫描加外网槛测万法的缺点提出了一种政避万嚣。 关键词内网扫描$非法外瞅1 伪造潮 1 51 富 在电信、政府、金融等大型企事业单位中， 办公网和生产网等内部网络往往需要与宽联网连 通。例如:各部门的员工需要在工作时间访问互 联网的内容. NGN网络需要通过互联网向公众提 供网上业务订购和Web800号事业务。 为了避免引人互联网络更多的安全.威胁(黑 客、病毒和拒绝服务攻击等) .网络管理人员通 常会采取在内网与互联网之间的边界舆施统一的 安全控制，例如:防火墙、 IDS、抗拒绝服务攻击 系统、内容审计和VPN等。 这些统一的边界安全控制手段通常都会发挥 良好的作用，降低内部网络的安全风险，尤其是 可以保护频频出现新漏洞的服务器和终端等。但 是，常常含有缺乏安:@:意识的员工在不断开与内 部网络的网娼连接的情况下，使用PSTN电i茜镜、 CDMA Modem或GPRS Modem等方式将终端摒 入互联网。我们称这种行为为非曲外联lu. 非战外联导政内部网络向不安全的互联网暴 露了一个不设防的新边界，互联网的戚胁可能会 乘虚而入I2le 例如:如果某个通过CDMA modem 非能外联的终端存在高危漏洞，黑客就可以从互 联闷对i我终端旗取的互联网胆地址发制攻击，得 到i在终端的梅作系统Shell，再以此终端为眺极耽 击内郁闷络中的其他IP地址.这种情况下，网络 管理员在内部网络的合站互联网出口所精心构建 的所有边界防护措施都被绕过了。 所以，如何监控并阻止非也外联行为将变得 极为熏耍，本文将对此展开讨论，井提出一种新 的解决方案。 2 常见的非法外联检控机制 目前经常使用的非战外联监控技术主要有两 种:基于客户端Agent的方梅和基于内网扫描加外 网检棚的方曲。 2.1 基于窑户端Agent的方法 基于1草户端Agent的非曲外联监控方榕的部署 方式很简单 t 在内部网络中部署管理服务器，同 200806 I 37 时在内部网络中的所有主机上安装客户罐Agent程 序，实时搜集被监控主机信息并判断被监控主机 是否非捺外联.客户端Agent通常以较高的权限运 行.例如administrators、 system?，r∞t等.包括 4~i!外联在内的任何行为都可以监控并迸行相应 处理，例如断开非法外联的网络连锁和向管理服 务it报警等，甚至可以子!t自动禁用可能导教非 格外联的设备. 价 这种方法的优点包括: ·既可以监控，又可阻断 ·检测及时 ·误报率低 . i屠报事低 这种方榕的缺点包括2 ·部磐到内部网络中的所有主机需要很大代 ·客户端Agent可能会被恶意卸载 ·客户锚Agent需要占用彼监控主机的系统 资源 ·客户错Agent与某些应用程序的兼容性可 能存在问? 上述缺点在一定程度上可以通过技术手段弥 补，例如2 可以利用城管理远程下发并安装客户 端Ag四t. 减少安装实施的工作量，可以结合路由 iJ交换机的配置，自动禁止来安装客户缉Agent的 主机接入内部网络，防止各主帆的使用者卸载甚 至重新安装主机操作系统. 对于主机的使用者个人来说，防止非法外联 的客户端Agent并没有给自己带来什么好处 只会槽添麻烦.所以这种主机端变更的大面 狈推广往往会遇到较大的阻力. 和互联网备放室一台服务器: 内网扫描服务器和 外网检测服务器. 2.2.1 内两扫描服务部 拥有内网IP地址.对内阀中的各主机轮流发 送探测报文，探测银文的源IP字段填充的是外阴 检测服务器的IP地址(伪造itIP的扫描) .以诱 使後收到j探测报文的主机试图向互联网上的外网 检测服务器发送回应. 探测报文可以是ICMP、 TCP或者UDP等等.探测报艾的构造可以加入一 定的技巧.例如可以在ICMP ping Echo Requ剧 的内容中填充当前被探测主机的内网IP地址. (如果被探测主锐和内网扫描服务器在同一个子 网内还可以加入MAC地址) III正常情况下，主机 没有与互联网的连接.回应报文是无法到这外网 检测服务籍的.但是如果主机存在非怯外联，则 会把回应报文送到互联网上真实存在的外网检测 服务器.回应报文的源IP是非法外联主机接口的 IP. 窑的IP是外阴检测服务嚣的IP. 报文的内容中 包含该主机的内网IP地址. 2.2.2 外网检测服务部 拥有互联网IP地址，一般情况下不会收到回 应银文. 如果收到回应报文. .1立即发出报餐， 报告该非法外联主机的互联网IP和内部IP地址等 信息. t革方法的图示如图1: .