《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 03-接入認證基礎(chǔ)；04-應(yīng)用特征識別技術(shù)

接入認證基礎(chǔ)認證背景無認證技術(shù)IP/MAC認證目錄要求實現(xiàn)：IT部電腦IP不固定，認證不受限制辦公區(qū)用戶不能修改IP地址上網(wǎng)公共上網(wǎng)區(qū)則需要輸入賬號和密碼才能上網(wǎng)，確保網(wǎng)絡(luò)行為能跟蹤到。案例背景/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)認證框架認證方式portal認證密碼認證802.1x認證不允許認證(禁止上網(wǎng))本地密碼認證第三方服務(wù)器密碼認證短信認證二維碼認證Dkey認證OA認證單點登錄不需要認證需求一：IT部電腦IP不固定，認證不受限制需求背景分析/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)設(shè)備根據(jù)數(shù)據(jù)包的源IP地址、計算機名、源MAC地址來標識用戶。優(yōu)點：終端用戶上網(wǎng)認證的過程是透明的，不會感知設(shè)備的存在。一般適用于對認證要求不嚴格的場景數(shù)據(jù)包特征信息認證背景無認證技術(shù)IP/MAC認證目錄首先為辦公區(qū)的用戶建一個用戶組，在【接入管理】－【用戶管理】－【本地組/用戶】中，點新增，選擇【組】，定義組名：IT部新增【認證策略】，選擇認證方式為不需要認證，不綁定任何地址【認證后處理】-【非本地/域用戶使用該組上線】：IT部無認證配置思路/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)IT部員工通過設(shè)備上網(wǎng)時，【在線用戶管理】可以看到用戶已在上線不需要認證效果展示認證背景無認證技術(shù)IP/MAC認證目錄需求二：辦公區(qū)用戶不允許私自修改IP地址，否則禁止上網(wǎng)需求背景分析/24FE-FC-FE-E9-9E-95/24/24IT部/24辦公區(qū)/24公共上網(wǎng)區(qū)問題一：數(shù)據(jù)包經(jīng)過二層交換機轉(zhuǎn)發(fā)后，數(shù)據(jù)包的源MAC地址會不會變化？問題二：數(shù)據(jù)包經(jīng)過三層交換機轉(zhuǎn)發(fā)后，數(shù)據(jù)包的源MAC地址會不會變化？問題三：我們?nèi)绾文塬@取到終端的真實IP/MAC表項呢？需求背景分析SNMP是基于TCP/IP協(xié)議族的網(wǎng)絡(luò)管理標準，是一種在IP網(wǎng)絡(luò)中管理網(wǎng)絡(luò)節(jié)點（如服務(wù)器、工作站、路由器、交換機等）的標準協(xié)議。SNMP協(xié)議概述管理信息庫MIB：任何一個被管理的資源都表示成一個對象，稱為被管理的對象。每個OID（ObjectIDentification）都對應(yīng)一個唯一的對象MIB庫OID值SNMP規(guī)定了5種協(xié)議數(shù)據(jù)單元，用來在管理進程和代理之間的交換。get-request操作：從代理進程處提取一個或多個參數(shù)值。get-next-request操作：從代理進程處提取緊跟當前參數(shù)值的下一個參數(shù)值。set-request操作：設(shè)置代理進程的一個或多個參數(shù)值。get-response操作：返回的一個或多個參數(shù)值。trap操作：代理進程主動發(fā)出的報文，通知管理進程有某些事情發(fā)生。SNMP協(xié)議數(shù)據(jù)單元get-requestget-next-requestget-responseget-responseset-requestget-responsetrapSNMP管理程序SNMP代理程序UDP端口161UDP端口162UDP端口161UDP端口161通過Wirehsark捕獲SNMP交互過程SNMP協(xié)議數(shù)據(jù)包工作原理防火墻172.16.1.1/24IP1

MAC1IP2

MAC2IP3

MAC3172.16.1.3/24①③②④思考：多個三層交換機的情況下如何獲??？工作原理防火墻/24/24/24/24/24１、首先為辦公區(qū)的用戶建一個用戶組，在【接入管理】－【用戶管理】－【本地組/用戶】中，點新增，選擇【組】，定義組名：辦公區(qū)２、新增【認證策略】，選擇認證方式為：不需要認證3、【認證后處理】-【非本地/域用戶使用該組上線】選擇：辦公區(qū)4、勾選【自動錄入綁定關(guān)系】-【自動錄入IP和MAC的綁定關(guān)系】三層網(wǎng)絡(luò)環(huán)境下特別注意，需要開啟以下功能：5、配置【認證高級選項】-【跨三層取MAC】（注意：要在三層設(shè)備上設(shè)置允許AC訪問其SNMP服務(wù)器）配置思路

【系統(tǒng)管理】—【在線用戶管理】可以看到用戶認證上線的身份?！居脩艄芾怼俊綢P/MAC綁定】可以查看到IP和MAC綁定成功。配置思路如果設(shè)備無法獲取到交換機的ARP表，應(yīng)該如何排查？1、檢查設(shè)備與交換機是否通訊正常2、檢查交換機的配置（是否允許AC訪問其SNMP服務(wù)器）、ACL和團體名3、檢查中間設(shè)備是否有攔截UDP161端口4、在電腦上通過BPSNMPUtil工具連接交換機，測試是否可以讀取ARP表5、AC只支持SNMPV1V2V2C版本協(xié)議思考總結(jié)如果以設(shè)備網(wǎng)橋模式部署在30位掩碼的網(wǎng)絡(luò)環(huán)境中如何獲取交換機的ARP表？防火墻和交換機啟30位掩碼的地址，我們的AC網(wǎng)橋?qū)⒉豢捎?，需要和交換機通過snmp取mac需要用管理口為什么此時網(wǎng)橋不能用？30位掩碼下的整個網(wǎng)絡(luò)環(huán)境，只有兩個可用IPAC是網(wǎng)橋模式部署，所以AC上下的設(shè)備都得分配IP，此時AC分配不到IP，處于無IP網(wǎng)橋模式，因此要用管理口來另接交換機（此時交換機上也要進行配置網(wǎng)口與AC的管理口對接）思考總結(jié)IP/MAC綁定失敗？1、查看是否在【跨三層取MAC】中沒有排除三層設(shè)備的MAC地址；2、在【IP/MAC綁定】中，查看PC的IP或MAC是否已經(jīng)綁定了其他MAC或者IP（同時查看三層設(shè)備的MAC是否被PC綁定了）思考總結(jié)跨三層識別方法二抓取arp包或dhcp包獲取MAC通過鏡像交換機arp或dhcp數(shù)據(jù)到設(shè)備空閑口（作為鏡像口）獲取用戶mac地址。實現(xiàn)方法一：在核心交換機上增加一個trunk口，允許所有vlan，把這個trunk口連到AC空閑網(wǎng)口上。這樣可以把所有廣播包復制到AC上，包括ARP包和DHCP的包。實現(xiàn)方法二：鏡像DHCP服務(wù)器接口進出流量擴展延伸應(yīng)用特征識別技術(shù)應(yīng)用識別需求與背景應(yīng)用識別技術(shù)應(yīng)用識別配置教學目標需求背景（一）：全天不允許使用QQ等聊天工具需求背景（二）：全天只允許特定QQ賬號上網(wǎng)，不允許其他QQ賬號上網(wǎng)需求背景/24FE-FC-FE-E9-9E-95/24/24辦公區(qū)/24IT部/24公共上網(wǎng)區(qū)防火墻/24傳統(tǒng)行為檢測原理：傳統(tǒng)的網(wǎng)絡(luò)設(shè)備根據(jù)數(shù)據(jù)包的五元組（源IP，目的IP，源端口，目的端口，協(xié)議）這些特征等來識別應(yīng)用并進行丟棄、轉(zhuǎn)發(fā)、接收、處理等行為。通過識別協(xié)議為UDP，端口為8000，從而識別出是QQ聊天的應(yīng)用，將該類數(shù)據(jù)包全部丟棄，實現(xiàn)需求一功能需求背景１、

新增【上網(wǎng)策略】-【上網(wǎng)權(quán)限策略】-【策略設(shè)置】-【應(yīng)用控制】在應(yīng)用里面勾選IM，生效時間全天，移動終端設(shè)備里面勾選通訊聊天，動作拒絕，在【適用對象】選擇辦公區(qū)，即對辦工區(qū)的所有用戶關(guān)聯(lián)上這條控制策略。２、新增【上網(wǎng)策略】-【上網(wǎng)審計策略】-【應(yīng)用審計】添加，勾選所有選項，在【適用對象】選擇辦公區(qū)，即對辦工區(qū)的所有用戶關(guān)聯(lián)上這條識別策略。配置思路辦公區(qū)員工通過設(shè)備上網(wǎng)時，登錄QQ已經(jīng)不能在登錄了，登錄又如下提示，在我們的上網(wǎng)行為監(jiān)控里面可以記錄QQ已經(jīng)被拒絕，并審計了一些辦公區(qū)用戶的訪問應(yīng)用的行為。效果展示應(yīng)用識別需求與背景應(yīng)用識別技術(shù)應(yīng)用識別配置教學目標需求背景（一）：全天不允許使用QQ等聊天工具需求背景（二）：全天只允許特定QQ賬號上網(wǎng)，不允許其他QQ賬號上網(wǎng)需求背景/24FE-FC-FE-E9-9E-95/24/24辦公區(qū)/24IT部/24公共上網(wǎng)區(qū)防火墻/24從數(shù)據(jù)包中發(fā)現(xiàn)，QQ用戶的字段在應(yīng)用層OICQ協(xié)議的Data字段。該需求需要識別特定的QQ用戶，而傳統(tǒng)的行為檢測只能對鏈路層、網(wǎng)絡(luò)層、傳輸層進行數(shù)據(jù)處理，不能對應(yīng)用層進行操作。應(yīng)用特征識別技術(shù)傳統(tǒng)行為檢測VS深度行為檢測應(yīng)用特征識別技術(shù)鏈路層頭部IP頭部傳輸層協(xié)議頭部數(shù)據(jù)內(nèi)容鏈路層頭部IP頭部傳輸層協(xié)議頭部數(shù)據(jù)內(nèi)容傳統(tǒng)行為檢測范圍深度行為檢測范圍深度行為檢測技術(shù)產(chǎn)生背景：傳統(tǒng)技術(shù)無法識別精細的數(shù)據(jù)包應(yīng)用和行為，無法識別經(jīng)過偽裝的數(shù)據(jù)包，無法滿足現(xiàn)在的安全需求和可視需求。應(yīng)用特征識別技術(shù)深度行為檢測技術(shù)深度包檢測技術(shù)（DPI）深度流檢測技術(shù)（DFI）（1）可視化全網(wǎng)（2）流量精細化管理（3）減少或延遲帶寬投入，降低網(wǎng)絡(luò)運營成本（4）及時發(fā)現(xiàn)和抑制異常流量（5）透視全網(wǎng)服務(wù)質(zhì)量，保障關(guān)鍵業(yè)務(wù)質(zhì)量（6）豐富的QoS提供能力優(yōu)點：深度包檢測技術(shù)（DPI）深度包檢測不僅檢測源地址、目的地址、源端口、目的端口以及協(xié)議類型，還增加了應(yīng)用層分析，另外識別各種應(yīng)用及其內(nèi)容。應(yīng)用特征識別技術(shù)基于“特征字”的檢測技術(shù)基于應(yīng)用網(wǎng)關(guān)的檢測技術(shù)基于行為模式的檢測技術(shù)深度包檢測技術(shù)分類1、基于“特征字”的檢測技術(shù)（DPI）客戶需求：在客戶局域網(wǎng)中只允許電腦上網(wǎng)，不允許手機上網(wǎng)。需求分析：該需求需要能夠識別哪些上網(wǎng)數(shù)據(jù)是手機端發(fā)出的，哪些是PC端發(fā)出的。通過數(shù)據(jù)包分析，發(fā)現(xiàn)手機和電腦在同時上網(wǎng)的時候（同時使用HTTP協(xié)議）會在HTTP協(xié)議的User-Agent字段區(qū)分出手機數(shù)據(jù)和PC數(shù)據(jù)。應(yīng)用特征識別技術(shù)基于“特征字”的檢測技術(shù)（DPI）不同的應(yīng)用通常依賴于不同的協(xié)議，而不同的協(xié)議都有其特殊的特征，這些特征可能是特定的端口、特定的字符串或者特定的Bit序列。基于“特征字”的識別技術(shù)通過對業(yè)務(wù)流中特定數(shù)據(jù)報文中的特征信息的檢測以確定業(yè)務(wù)流承載的應(yīng)用和內(nèi)容。通過對應(yīng)用特征信息的升級（例如http數(shù)據(jù)包中的User-Agent的位置），基于特征的識別技術(shù)可以很方便的進行功能擴展，實現(xiàn)對新協(xié)議的檢測。應(yīng)用特征識別技術(shù)1.固定位置特征字匹配3.多連接聯(lián)合匹配以及狀態(tài)特征匹配2.變動位置的特征匹配基于“特征字”的檢測技術(shù)分類2.基于應(yīng)用層網(wǎng)關(guān)的檢測技術(shù)（ALG）某些應(yīng)用的控制流和數(shù)據(jù)流是分離的，數(shù)據(jù)流沒有任何特征。這種情況下，我們就需要采用應(yīng)用層網(wǎng)關(guān)識別技術(shù)。應(yīng)用層網(wǎng)關(guān)需要先識別出控制流，根據(jù)對應(yīng)的協(xié)議，對控制流進行解析，從協(xié)議內(nèi)容中識別出相應(yīng)的業(yè)務(wù)流?？蛻粜枨螅航肰oIP視頻。需求分析：VoIP視頻協(xié)議是先使用控制信令來協(xié)商數(shù)據(jù)的傳輸，之后進行數(shù)據(jù)流的傳輸。VoIP視頻數(shù)據(jù)交換過程抓包如下：應(yīng)用特征識別技術(shù)基于應(yīng)用層網(wǎng)關(guān)的檢測技術(shù)--VoIP視頻協(xié)議數(shù)據(jù)流VoIP視頻協(xié)議的數(shù)據(jù)流可以看到是基于UDP的，跟蹤數(shù)據(jù)流，發(fā)現(xiàn)該數(shù)據(jù)沒有任何特征，但是VoIP在進行數(shù)據(jù)傳輸前是有控制信令來協(xié)商數(shù)據(jù)的傳輸。應(yīng)用特征識別技術(shù)基于應(yīng)用層網(wǎng)關(guān)的檢測技術(shù)--VoIP協(xié)議的控制信令1應(yīng)用特征識別技術(shù)基于應(yīng)用層網(wǎng)關(guān)的檢測技術(shù)--VoIP協(xié)議的控制信令2應(yīng)用特征識別技術(shù)3.基于行為模式的檢測技術(shù)基于對終端已經(jīng)實施的行為的分析，判斷出用戶正在進行的動作或者即將實施的動作行為模式識別技術(shù)通常用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識別。例子：垃圾郵件行為模式識別SPAM（垃圾郵件）業(yè)務(wù)流和普通的Email業(yè)務(wù)流從Email的內(nèi)容上看是完全一致的，只有通過對用戶行為的分析，才能夠準確的識別出SPAM業(yè)務(wù)。應(yīng)用特征識別技術(shù)郵件服務(wù)器一個小時發(fā)一封郵件一個小時發(fā)一萬封郵件深度流檢測技術(shù)（DFI）DFI采用的是一種基于流量行為的應(yīng)用識別技術(shù)，即不同的應(yīng)用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)等各有不同?；诹鞯男袨樘卣?，通過與已建立的應(yīng)用數(shù)據(jù)流的數(shù)據(jù)模型對比，判斷流的應(yīng)用類型或業(yè)務(wù)。DFI技術(shù)正是基于這一系列流量的行為特征，建立流量特征模型，通過分析會話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來與流量模型對比，從而實現(xiàn)鑒別應(yīng)用類型