2014年,中央网络安全和信息化领导小组成立,国家已经将网络安全上升到国家战略的高度,没有网络安全就没有国家安全,而网络边界完整性的保护是整个网络安全的基石,保护网络边界完整性的意义重大。
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008)明确提出了针对网络边界完整性检查的内容和要求:
1)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;
2)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
而分级保护相对于等保,有着更为严格边界控制要求,×××国保发[2006]3号明确规定涉密计算机信息系统严禁使用有无线功能的计算机、无线互联功能的网络设备、无线键盘和鼠标等无线互联外围设备。
但现实是,作为管理者却没有合适的技术手段去快速发现破坏网络边界完整性的违规行为,无法落实等保及自身管理的规范要求,而因边界遭受破坏引发巨大安全损失的风险却一直存在。
场景1:
很多用户的网络规模很大,少则上千台终端多则上万台甚至更多,是典型的城域网或广域网结构,这些网络已建成多年,网络规模在不断扩大,网络边界也在发生变化,与最初的网络规划是否切合?网络边界到底止于何处?是否存在设备私接等问题,这是很多管理者的困惑。
形成上述局面的主要因素在于:
第一:管理人员少,事情多,缺乏专业的技术监管手段,管理人员疲于应付各类事件,使得监管效率不高;
第二:很多大网都是由若干相对独立的子网组成,若没有采用自上而下的统一监管,统一配备技术和管理手段,统一培训和考核监管人员的素质水平,其各子网的管理水平肯定会参差不齐,木桶的短板效应就会显现,监管水平最弱的子网就会对整个网络带来安全风险;
第三:堡垒最易从内部突破,破坏网络边界的行为往往是内部人员所为,内部人员为了节省手机/平板等的3G/4G流量,更希望以无线Wifi的方式接入内部网络来快速获取必要资源,网络私接存在现实强烈需求,随身Wifi、AP等设备为网络私接提供了既便利又隐蔽的手段,但管理者苦于没有合适的技术手段进行监管,网络私接得不到扼制,只会使得私设路由、私接设备的现象越发严重。
场景2:
定级为等保2级或更高安全等级的网络,针对违规内联,会专门部署终端桌面管理系统,并对网络接入实行准入控制,要么基于交换机端口绑定实行准入控制,要么基于802.1X进行准入控制,但仍无法完全杜绝违规内联问题。
原因解析:
第一:针对违规内联的控制,用户以为通过控制USB接口就能控制随身Wifi设备的接入,但很多终端桌面管理系统只对USB存储设备进行监管,对随身Wifi这种非存储设备的接入并不做监管;
第二:终端桌面管理系统的部署率影响监管效果,部署率达到100%是很难完成的任务,总有终端通过各种方式能够逃避监管,这也是终端桌面管理类系统绕不开的技术难题;
第三:无线AP等路由设备可以通过MAC克隆+NAT轻易突破交换机端口绑定的限制;
第四:无线AP通过NAT结合DMZ设置,可以轻松突破802.1X的准入控制。通过将合法终端接入AP的DMZ区,然后AP以NAT方式接入原有网络,接入认证通过DMZ区的合法终端完成,认证通过后,其他接入AP的无线设备均可以通过DMZ区的合法终端作为代理接入内网,最终轻松实现对802.1X的突破;此外,基于802.1X的接入控制虽更为严格,但部署和维护都是一个难题,因802.1X导致网络瘫痪的案例不少,甚至倒逼用户放松甚至放弃基于802.1X对接入的控制。
第三:即使有了好身体,也需要定期体检进行验证,网络的技术管理措施是否到位、是否有效,还需要其他专业的检测手段进行配合和评估。
斯诺登事件再次警示QY球友会,扎好自己的篱笆的同时还要加强对篱笆的巡视,时刻保证篱笆的完整,保护网络边界的完整性,否则网络边界会千疮百孔,边界防护方面的努力和巨额投入都将功亏一篑。
1、私接BYOD设备问题
BYOD(Bring Your Own Device)指携带自己的设备办公,这些设备包括个人电脑、智能手机、平板等。如何让BYOD设备安全的接入用户内部网络,而不是带来麻烦,对于还没有做好应对BYOD设备接入的多数国内政府机关以及企事业单位,如何应对来自BYOD私接带来的挑战?
很多单位内部人员拥有的BYOD设备的数量已经超过了终端PC的数量,这些数量庞大的BYOD设备存在接入快速网络的需求和冲动,无线AP和随身Wifi是提供BYOD设备私接的最主要途径,这类私接行为即隐蔽又便捷,尤其在台式机仍占主导的网络表现更为突出,BYOD私接问题带来的最大安全风险就是对网络边界完整性的破坏,虽然有明文规定禁止私接设备,但由于内部员工安全意识薄弱或存在“侥幸”心理,加上监管不到位,私接设备的现象仍大量存在。
2、私接随身Wifi设备问题
2013年,随着360奇虎公司率先推出随身Wifi设备,该类设备立即受到了市场的追捧,究其原因就是随身Wifi迎合了智能手机、平板类设备的接入需求,随身Wifi可以充分利用使用者身边的已有网络资源,以无线Wifi的方式为手机、平板等智能设备提供快速接入。
随身Wifi设备以USB方式接入终端PC或笔记本后,会自动变身成一无线AP,并以NAT(地址转换)的方式为智能手机、平板设备提供无线Wifi接入,既隐蔽又难以监管。
对于网络内部已授权接入的笔记本,如果不对其无线网卡进行限制,通过配置或安装一些专用软件,该笔记本的无线网卡也可变身一无线AP,与随身Wifi设备的工作原理类似,并可对智能手机、平板设备提供无线Wifi接入,同样隐蔽和难以监管。
3、私接AP或小路由设备问题
随着便携型无线/有线路由器的普及,因其不占空间,价格便宜,配置灵活方便,使得该类设备成为内部用户私自扩容网络或私建网中网的最佳选择。其接入方式包括:
1) AP或HUB方式
把有线路由器/无线路由器作为HUB使用,这是最简单也是最常见的私自扩容网络的方式之一。
2) 常规NAT方式
有线路由器/无线路由器都提供NAT接入方式,便于网络扩容和私建网中网,是最隐蔽最难监管的接入方式。
该接入模式下,对于管理者而言是单点普通接入,实际上却有几台甚至十几台设备同时在接入,所有连接至该路由设备的会分配一个私有IP地址,通过NAT转换访问内部网络,具有极强的隐蔽性。
3) 地址克隆NAT方式
是躲避和欺骗监管的主要接入方式,类似常规NAT接入,该种模式多是私接者为了破解网络准入(如在交换机端口做了MAC地址绑定)的限制,会先将路由器的MAC地址修改为交换机端口已绑定的MAC地址,对于管理员来说,看到的也是合法的一台设备接入,实际上却是一台经过MAC伪装的路由设备,该路由设备上可能同时私接了很多设备,并以NAT方式访问内部网络。
4) DMZ+NAT方式
是突破现有802.1X准入控制的主要方式之一,类似常规NAT接入,不同之处在于将合法终端放入其DMZ区,接入认证由该合法终端完成,其他接入AP的设备都通过该合法终端作为代理访问内部网络,对于管理员来说,看到的也是合法的一台设备接入,实际上却是一台经过伪装的路由设备,该路由设备上可能同时私接了很多设备,并以NAT方式访问内部网络。
4、设备私接的危害
1) 原有网络边界遭到成倍放大和破坏
私接设备尤其是私自将无线AP接入到内部网络,使得本应局限在内部建筑的网络边界,直接辐射到以建筑为核心的方圆50米甚至更远的距离,大大扩展及破坏了内网已有的网络边界,使得内部网络遭受侵入的风险急剧增加,其危害相较于非法外联,引发的安全风险甚至更高。
2) 易遭受攻击,安全风险极高
很多私接设备(如手机、平板等)的安全性本身很差,运行的应用鱼龙混杂,接入内部网络后,容易带入病毒等,风险极高。
其次,私接的无线AP虽提供了一定的安全措施,但常因使用者的安全意识及技术水平的限制,无法充分发挥AP自身的安全防护能力,加上AP常用的WEP加密的脆弱性,使得AP很容易遭受攻击和破解,外部攻击者可以轻易的在方圆50米甚至更远的距离上,通过破解以及欺骗的手段,通过AP直接侵入内部网络,轻易对内部网络实施其破坏行为。
3) 难以监管,管理者很难发现私接设备的行为
对于网络内部还存在HUB或者类似HUB接入的网络,针对私接路由设备的监管非常困难,管理者很难区分清楚这些提供HUB接入的设备是合法的还是私接的。
更难以监管是通过NAT方式接入的路由设备,包括随身wifi设备,即使管理者通过MAC和设备端口绑定的方式进行限制,建立了基于802.1X的接入控制体系,此类设备仍可通过欺骗等手段方便的接入,这种接入的隐蔽性和欺骗性,使得管理者难以发现,更谈不上监管。