曾几何时,人们对鸡有了畏惧心理,“禽流感”让两只脚的动物在社会上掀起一阵“谈禽色变”的恐慌,让人不禁想起几年前的非典,人人戴口罩,挂艾草的情形。不久前的印度洋海啸,以及前几天的哈尔滨水污染让人们对于政府部门在社会管理上的危机应急机制有了新的认识。
曾几何时,人们对鸡有了畏惧心理,“禽流感”让两只脚的动物在社会上掀起一阵“谈禽色变”的恐慌,让人不禁想起几年前的非典,人人戴口罩,挂艾草的情形。不久前的印度洋海啸,以及前几天的哈尔滨水污染让人们对于政府部门在社会管理上的危机应急机制有了新的认识。
非典让人们老老实实的呆在家里,用网络与外界交流,殊不知,网络也时有危机发生,冲击波病毒如非典般迅速传染肆虐,人们像当年抢购口罩一样去下载补丁,超流量导致的网络瘫痪如印度洋海啸带来的灾难,由此,内网的管理也提出了常态与非常态之说,常态管理即内网运行正常,无突发病毒,无网络异常等情况下的管理,而非常态管理主要是内网有极具传染性的病毒爆发,或者恶意攻击网络流量异常情况下,或者其他非正常当情况下的管理。
所谓非常时期,非常措施。这就要求内网管理在不同时期采取不同的机制,在常态时期,实现网络运行稳定,快速,高效。在非常态时期,采取应急机制,将危害降到最低直至彻底消除。
下面就说说上海艾泰科技有限公司自主研发产品HiPER宽带安全网关对内网的常态管理与非常态管理。
一、常态管理
HiPER宽带安全网关对于内网的常态管理主要体现在对于上网权限、时间的管理,带宽的管理。
1、上网权限的管理
HiPER宽带安全网关对于内网用户上网权限的管理主要是通过相应的配置来设置内网哪些用户可以上网,哪些用户不可以上网,或者允许某些用户访问指定网站,限制访问非法网站,还可以通过配置对于内网用户上网时间实现控制。
限制指定用户上网,实现的方法主要是通过IP/MAC绑定设置上网的黑白名单功能,IP/MAC绑定不仅可以禁止用户随意更改自己的IP地址,还可以限制指定用户上网,将不允许上网的用户的MAC地址与不属于内网的IP地址绑定,从而达到限制部分用户上网的目的,也就是所谓的黑名单。
当然,对于允许上网的用户,在实际应用中也有不同的要求,如限制使用即时通讯工具,限制上班时间上网,控制指定用户访问指定网站,禁止访问指定非法网站等。这些功能要通过IP Filter 策略来完成。HiPER的IP Filter策略有三种,分别是IP Filter,IPSSG Filter,Generic Filter。
IP Filter只是对IP包进行判断和处理。它可以根据IP包的特点,如IP源地址,目的地址,协议和源端口,目的端口等对包进行处理,如转发或者丢弃。IP Filter的这些参数非常容易从实际环境得到。 通过目的地址,源地址的匹配,就可以限制用户访问特定网站。如限制使用 QQ,MSN等即时通讯工具,只需通过IP Filter策略设置封闭掉QQ、MSN等常用的IP地址或者端口,在检测到QQ,MSN等即时通讯工具经常使用的IP地址或者端口发出的包或者发往该IP地址或端口的包时,路由器就会选择丢弃。
IPSSG Filter是扩展的Filter,是HiPER宽带安全网关转有的Filter。IPSSG Filter判断的条件除了IP Filter中说的IP源地址,目的地址,协议和源端口,目的端口这些IP基本信息以外,还可以根据MAC地址,时间段等来判断。这样就可以控制内网主机的上网时间段,如工作时间不可以上网等。
Generic Filter 是按照字节( bytes)或者比特(bits)检查任何包。使用Generic Filter,管理员需要可以根据包的内容来查找。通过Generic Filter策略能够设置站点过滤,关键字过滤,URL过滤等,限制内网成员访问非法网站等。
当然,上面的几种策略结合起来使用就更加灵活多样了。如特定人群在特定时间具有特定的上网权限等。
实际应用:QQ,MSN即时消息工具的管理
通过HiPER宽带安全网关查询界面可以清楚的看到哪些用户在用即时聊天工具,并且可以通过设置相应的IP Filter策略来限制或者允许内网用户使用即时通讯工具,如要禁止使用QQ,MSN。只要在IP Filter策略中关闭QQ常用的服务器IP地址,或者MSN的常用端口,如QQ服务器的
219.133.40.91-219.133.40.96
218.17.209.23-218.17.209.42
218.18.95.219-218.18.95.220
202.104.129.242-202.104.129.254
219.133.40.15
61.172.249.133-61.172.249.135
218.17.217.105-218.17.217.106
等等,(地址需要不断更新,因为QQ服务器的地址是不断增加的)还有MSN的tcp 1863端口 65.54.0.1-65.54.255.254的tcp 443端口等,这样就可以很好的限制内网用户使用QQ,MSN了,当然,还可以结合时间段,MAC地址等,来限制指定用户指定时间使用QQ,MSN等工具。
2、 带宽的管理
在内网的实际应用中,不同部门需要的带宽是不同的,使用HiPER宽带安全网关可以根据内网用户的不同需要,来给各个部门分配不同的带宽,从而合理高效的使用带宽。
HiPER宽带安全网关带宽的控制主要通过CBQ和CBT来实现。
利用CBQ可以将相同的应用分成类,可以是基于地址,协议和端口的。可以为指定的类预留带宽,限制特定类可以使用的最高带宽,允许设定某类带宽空闲时外借,或者向其他类借用带宽类内所有的机器平均共享带宽,保持相对的公平。
CBT算法主要实现内部网络公平带宽的分配,抑制BT、电驴等P2P下载的超常流量。CBT算法采用社会工程学原理,对网络内部的各个主机给予带宽信用,一旦某些主机的流量超过信用太多,采取惩罚措施,降低这些主机的带宽。采用CBT算法实现公平带宽控制,可以在资源不足的情况下,保证公平,能高效, 低延迟地提供流量控制功能,CBT能特别是对突发, 不可预期的流量有效,而目前控制的挑战很大一部分来自突发流量,对WEB浏览,QQ,MSN,telnet等交互式的流量保证比较充足,而且ReOS实现的效率比较高。
实际应用:BT下载的管理
如果内网有用户使用BT下载的话,就会占尽几乎所有内网带宽,导致网络瘫痪,具体表现为网页打不开或者打开很慢,聊天的消息发不出去,游戏出现卡的现象。用HiPER宽带安全网关内网主机速率限制功能,控制用户下载。对于BT下载的预防主要是利用CBQ为网内用户限定最高带宽,这样就能限制了用户BT下载,占用别人带宽的问题。当然,基于社会工程学原理信用机制的CBT算法对于限制BT等P2P工具的下载的管理更具人性化。在内网使用BT下载的用户的信用会随着占用带宽的突然增加而急剧下降,随着信用的下降,该用户可使用的带宽会减少,这样的机制更具有弹性。
二、HiPER对于内网的非常态管理
HiPER宽带安全网关对于内网的非常态管理主要是不能上网的查看,超流量造成的问题以及ARP攻击造成的问题三个方面的管理。
1、 不能上网的查看。
内网突然出现不能上网的情况是很多的,原因也多种多样,问题可能出现在网络中的任何一个环节,可能是硬件的问题,也可能是配置的问题,还可能是由于病毒入侵。这就要有一个完善的检测机制迅速查找到原因,出现网络不通的情况最常见的方法是用ICMP的ping 命令,路由器的SHOW命令来检查故障的发生点。
一般来说,计算机的网络连接主要有三种,如下图所示,一种是红色箭头所示的内网主机之间访问,过程如:主机A—交换机—主机B,第二种是无需域名解析直接用IP地址对外网访问,如图中的蓝色箭头所示,主机A——交换机——网关——外网。第三种则是需要DNS域名解析的,如图中的黑色箭头所示,由主机经过交换机,网关向DNS服务器发送请求解析的域名,经过DNS的解析出IP地址,然后再按照第二种的过程继续访问外网。所以,一般来说分三个步骤来检测。
首先要看PC的IP和路由器的LAN口是否在一个网段,网关是否指向路由器的LAN 口,DNS是否写了,网线是否是好的,网卡是否是好的,
然后再看路由器的灯是否正常,在HiPER上,用show ip route table是否能看到ISP分的IP地址
如果分到了ISP的IP地址,看看是否做了NAT,是不是少了set ip nat routing enable这条命令,如果做了NAT看看是没有做NAT绑定,看看是否有:
new ip nat binding/ETHbind
set ip nat binding/ETHbind profile PPPOE 这个配置的profile名一定和PPPOE的connection名一致
set ip nat binding/ETHbind natMethod EasyIp
最后依次使用ping命令,根据其返回结果逐段排查故障
(1)ping 127.0.0.1,查看TCP/IP协议是否正确安装。
(2)ping 本机IP地址,查看网卡是否完好或网络配置是否正确。
(3)ping 内网任一台主机IP地址,查看网线是否完好,交换机是否工作正常。
(4)ping 网关IP地址,查看路由器是否工作正常。
(5)ping 202.96.209.6(上海电信DNS服务器),查看是否接入internet。
(6)ping www.sina.com.cn,查看DNS能否正常解析。
如此步骤下来,问题应该就可以查找出来 。
2、 流量异常造成的问题
流量的异常主要有个体超流量和整个出口带宽的不够,主要原因是内网的用户BT下载或者内网出现诸如蠕虫病毒,恶意攻击等造成的。
对于BT等软件下载造成的问题,可以在路由器的WEB界面中清楚的看出各个用户所使用的带宽,哪个用户在进行BT等软件下载,就可以轻松的看到,然后就可以采取措施对其封闭或者限速。
对于出现病毒感染或恶意攻击造成的问题,由于内网的主机感染了病毒,会向网内其他主机发送大量的广播包,造成网络流量骤增,如冲击波震荡波病毒,SQL蠕虫病毒,伪造源地址的DDoS攻击等。这些病毒攻击发生时,带有明显的异常现象,这些异常可以在HiPER宽带安全网关的WEB管理界面中,通过查看各台主机上传下载包,以及使用的内外网端口可以看出来。
如感染冲击波病毒的主机会发出的大量NAT会话,特征如: 协议为TCP,外网端口为135/139/445/1025/4444/5554/9996等; 会话中该主机有上传包,下载包往往很小或者为0。
感染SQL蠕虫病毒的主机发出的大量NAT会话,特征如: 协议为TCP,外网端口为1433;协议为UDP,外网端口为1434; 会话中有上传包,下载包往往很小或者为0。
而对于伪造地址源的DDoS攻击,可以在WebUI——系统状态——NAT统计——NAT状态中,看到“IP地址”一栏里面有很多不属于该内网IP网段的用户。这说明网内出现了伪造地址源的DDoS攻击。要查看是哪台主机在攻击,只要在WebUI——系统状态——用户统计——用户统计信息,可以看到安全网关接收到某用户发送的海量的数据包,但是安全网关发向该用户的数据包很小,依此判断该用户可能在做伪造源地址攻击。
一旦判断出是哪台主机感染了病毒,感染了何种病毒,下面的解决方法就很简单,主要是先把中毒主机从内网断开,防止病毒扩散,然后用杀毒软件杀毒就可以了
3、 ARP攻击造成的问题
所谓ARP攻击就是内网某台主机伪装成网关,欺骗内网其他主机将所有发往网关的信息发到这台主机上。一般来说,ARP攻击有两种情况,一种是将自己伪装成网关,让所有发往网关的信息发往自己,然后不做处理,导致用户发出去的信息有去无回,属于恶做剧类型。另一种则是将欺骗来的信息,继续发往网关,再将网关返回的信息转发给用户,自己做一次中继。但是由于此台主机的数据处理转发能力远远低于网关,所以就会导致大量信息堵塞,网速越来越慢,甚至造成网络瘫痪,这样做的目的就是为了截取用户的信息,盗取诸如网络游戏帐号,QQ密码等用户信息。
当局域网内某台主机运行ARP欺骗的木马程序时,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
在路由器的“历史系统记录”中,可以看到大量如下信息
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址。既然我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN工具来快速查找它。NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP和MAC地址。当然,如果用HiPER对内网的用户实施IP/MAC绑定的话,用户就不能随便改变自己的MAC地址,也就可以避免ARP攻击这样的事情了。
当然,随着网络技术的不断发展,给内网管理也不断提出新的问题与挑战。因此,艾泰科技的HiPER宽带安全网关系列产品对于内网的管理,也本着与时俱进的态度,不断的完善与发展。
网友评论