1.1 需求
目前企业需要面对共享上网主要带来的以下 两个问题:
(1)企业中,不少用户共享自己访问互联网的权限给其他用户,绕开了企业对用户设定的上网权限控制,使得原本没有上网权限的用户可以上网了,或者使得原本上网权限较低的用户拥有了较高的权限,给网络管理带来了诸多麻烦。
(2)私接Wi-Fi容易暴露内网,因此需要禁止共享上网行为,避免共享接入的用户绕开企业的上网权限控制和上网行为监控。
在企业的网络管理中出现了防共享上网的需求,即防代理、防一拖N的需求(多台终端通过同一个前端路由器NAT共享上网)。
1.2 测试环境
使用测试设备搭建小型局域网环境,拓扑如下。
1.3 防共享原理简介
传统的防共享技术,如流量/连接数统计、MAC地址检测、SNMP扫描检测、TTL检测防共享效果差,识别不准,深信服采用行业内领先的防共享技术精准识别,主要有如下几种
1、深信服DPI检测技术
通过分析常用应用软件的数据包,发现一些软件刚启用不久发送的TCP数据包中带有PC的IP信息,AC设备通过分析这些数据包可以提取出PC端的IP,根据不同的IP数量得出共享的PC数量,比如QQ登录时候的数据包中会携带电脑网卡的IP地址,适用于windows的电脑。
2、QQ检测防共享原理
3、深信服字体检测技术
在共享的PC相继访问http网站,播放在线视频(浏览器需要安装flash), AC篡改PC请求,令PC上报系统字体信息到AC,假设pc1 上报的字体为font1, PC2上报的为font2, 那么要检测到PC1和PC2共享需要类似于这样的上报序列 font1,font2,font1交错上报,就可以识别出共享行为。
4、深信服辅助检测技术
(1)URL检测: 通过分析常用应用软件的数据包,发现一些软件刚启用不久发送的HTTP请求中, URL会有一些特征串,在这些特征串中会有一段信息是和终端强关联的,即同一终端发送的特征串信息是相同的,不同终端间发送的是不同的, AC设备根据提取到的不同的特征串数量得出共享的终端数量。
(2)微信特征ID 检测:通过分析微信客户端在发送消息时,在数据包固定的偏移位置,存在相同的一串二进制数对于同一个微信客户端。AC通过提取这串二进制数,统计提取数量的个数得出共享移动终端数量。
1.4 业务改造过程
第一步:识别小路由器然后禁止小路由器上网(梳理出有多少小路由器)
1、采用深信服上网行为管理来识别私接的小路由器的IP地址
2、设置终端数量达到2台及以上,进行冻结该IP(时长可以自定义)
第二步:改造小路由器,将小路由器,变成一个单纯无线信号发射器(解决私网无法准入的问题)
(1)登入无线路由器,关闭无线路由器的DHCP功能,只保留WIFI,设置好WIFI的SSID和密码。
(2)网线接到无线路由器的LAN口上即可,这时候无线路由器就是起无线交换机的作用。
第三步:网络改造(解决终端无法获取IP地址的问题)
由于在第二步中我们关闭的小路由器的DHCP功能,所以终端设备连接上小路由器的信号后是无法获取IP地址的,所以我们需要在核心交换机上从新启用一个新的网段,如192.168.100.0/24,这样终端设备在连接小路由器发射出来的信号后就会获取到核心交换机给它分配的IP地址,这样终端设备就可以上网了
第三步:开启portal准入
启动准入,终端打开网页的时候就弹出认证界面,进行认证,可以对上网日志记录
1.5 总结
员工上网随意,办公场所沦为网吧,虽然有企业规章制度,但形同空文,缺少有效的管控手段。分析原因,主要还是上网权限缺乏管理和控制,采用深信服上网行为管理,可以有效解决路由器共享、准入认证问题。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-6-28 17:24
技术员1级 
