《网络安全设备原理与应用》 课件 03-接入认证基础；04-应用特征识别技术

接入认证基础认证背景无认证技术IP/MAC认证目录要求实现：IT部电脑IP不固定，认证不受限制办公区用户不能修改IP地址上网公共上网区则需要输入账号和密码才能上网，确保网络行为能跟踪到。案例背景/24FE-FC-FE-E9-9E-95/24/24IT部/24办公区/24公共上网区认证框架认证方式portal认证密码认证802.1x认证不允许认证(禁止上网)本地密码认证第三方服务器密码认证短信认证二维码认证Dkey认证OA认证单点登录不需要认证需求一：IT部电脑IP不固定，认证不受限制需求背景分析/24FE-FC-FE-E9-9E-95/24/24IT部/24办公区/24公共上网区设备根据数据包的源IP地址、计算机名、源MAC地址来标识用户。优点：终端用户上网认证的过程是透明的，不会感知设备的存在。一般适用于对认证要求不严格的场景数据包特征信息认证背景无认证技术IP/MAC认证目录首先为办公区的用户建一个用户组，在【接入管理】－【用户管理】－【本地组/用户】中，点新增，选择【组】，定义组名：IT部新增【认证策略】，选择认证方式为不需要认证，不绑定任何地址【认证后处理】-【非本地/域用户使用该组上线】：IT部无认证配置思路/24FE-FC-FE-E9-9E-95/24/24IT部/24办公区/24公共上网区IT部员工通过设备上网时，【在线用户管理】可以看到用户已在上线不需要认证效果展示认证背景无认证技术IP/MAC认证目录需求二：办公区用户不允许私自修改IP地址，否则禁止上网需求背景分析/24FE-FC-FE-E9-9E-95/24/24IT部/24办公区/24公共上网区问题一：数据包经过二层交换机转发后，数据包的源MAC地址会不会变化？问题二：数据包经过三层交换机转发后，数据包的源MAC地址会不会变化？问题三：我们如何能获取到终端的真实IP/MAC表项呢？需求背景分析SNMP是基于TCP/IP协议族的网络管理标准，是一种在IP网络中管理网络节点（如服务器、工作站、路由器、交换机等）的标准协议。SNMP协议概述管理信息库MIB：任何一个被管理的资源都表示成一个对象，称为被管理的对象。每个OID（ObjectIDentification）都对应一个唯一的对象MIB库OID值SNMP规定了5种协议数据单元，用来在管理进程和代理之间的交换。get-request操作：从代理进程处提取一个或多个参数值。get-next-request操作：从代理进程处提取紧跟当前参数值的下一个参数值。set-request操作：设置代理进程的一个或多个参数值。get-response操作：返回的一个或多个参数值。trap操作：代理进程主动发出的报文，通知管理进程有某些事情发生。SNMP协议数据单元get-requestget-next-requestget-responseget-responseset-requestget-responsetrapSNMP管理程序SNMP代理程序UDP端口161UDP端口162UDP端口161UDP端口161通过Wirehsark捕获SNMP交互过程SNMP协议数据包工作原理防火墙172.16.1.1/24IP1

MAC1IP2

MAC2IP3

MAC3172.16.1.3/24①③②④思考：多个三层交换机的情况下如何获取？工作原理防火墙/24/24/24/24/24１、首先为办公区的用户建一个用户组，在【接入管理】－【用户管理】－【本地组/用户】中，点新增，选择【组】，定义组名：办公区２、新增【认证策略】，选择认证方式为：不需要认证3、【认证后处理】-【非本地/域用户使用该组上线】选择：办公区4、勾选【自动录入绑定关系】-【自动录入IP和MAC的绑定关系】三层网络环境下特别注意，需要开启以下功能：5、配置【认证高级选项】-【跨三层取MAC】（注意：要在三层设备上设置允许AC访问其SNMP服务器）配置思路

【系统管理】—【在线用户管理】可以看到用户认证上线的身份。【用户管理】—【IP/MAC绑定】可以查看到IP和MAC绑定成功。配置思路如果设备无法获取到交换机的ARP表，应该如何排查？1、检查设备与交换机是否通讯正常2、检查交换机的配置（是否允许AC访问其SNMP服务器）、ACL和团体名3、检查中间设备是否有拦截UDP161端口4、在电脑上通过BPSNMPUtil工具连接交换机，测试是否可以读取ARP表5、AC只支持SNMPV1V2V2C版本协议思考总结如果以设备网桥模式部署在30位掩码的网络环境中如何获取交换机的ARP表？防火墙和交换机启30位掩码的地址，我们的AC网桥将不可用，需要和交换机通过snmp取mac需要用管理口为什么此时网桥不能用？30位掩码下的整个网络环境，只有两个可用IPAC是网桥模式部署，所以AC上下的设备都得分配IP，此时AC分配不到IP，处于无IP网桥模式，因此要用管理口来另接交换机（此时交换机上也要进行配置网口与AC的管理口对接）思考总结IP/MAC绑定失败？1、查看是否在【跨三层取MAC】中没有排除三层设备的MAC地址；2、在【IP/MAC绑定】中，查看PC的IP或MAC是否已经绑定了其他MAC或者IP（同时查看三层设备的MAC是否被PC绑定了）思考总结跨三层识别方法二抓取arp包或dhcp包获取MAC通过镜像交换机arp或dhcp数据到设备空闲口（作为镜像口）获取用户mac地址。实现方法一：在核心交换机上增加一个trunk口，允许所有vlan，把这个trunk口连到AC空闲网口上。这样可以把所有广播包复制到AC上，包括ARP包和DHCP的包。实现方法二：镜像DHCP服务器接口进出流量扩展延伸应用特征识别技术应用识别需求与背景应用识别技术应用识别配置教学目标需求背景（一）：全天不允许使用QQ等聊天工具需求背景（二）：全天只允许特定QQ账号上网，不允许其他QQ账号上网需求背景/24FE-FC-FE-E9-9E-95/24/24办公区/24IT部/24公共上网区防火墙/24传统行为检测原理：传统的网络设备根据数据包的五元组（源IP，目的IP，源端口，目的端口，协议）这些特征等来识别应用并进行丢弃、转发、接收、处理等行为。通过识别协议为UDP，端口为8000，从而识别出是QQ聊天的应用，将该类数据包全部丢弃，实现需求一功能需求背景１、

新增【上网策略】-【上网权限策略】-【策略设置】-【应用控制】在应用里面勾选IM，生效时间全天，移动终端设备里面勾选通讯聊天，动作拒绝，在【适用对象】选择办公区，即对办工区的所有用户关联上这条控制策略。２、新增【上网策略】-【上网审计策略】-【应用审计】添加，勾选所有选项，在【适用对象】选择办公区，即对办工区的所有用户关联上这条识别策略。配置思路办公区员工通过设备上网时，登录QQ已经不能在登录了，登录又如下提示，在我们的上网行为监控里面可以记录QQ已经被拒绝，并审计了一些办公区用户的访问应用的行为。效果展示应用识别需求与背景应用识别技术应用识别配置教学目标需求背景（一）：全天不允许使用QQ等聊天工具需求背景（二）：全天只允许特定QQ账号上网，不允许其他QQ账号上网需求背景/24FE-FC-FE-E9-9E-95/24/24办公区/24IT部/24公共上网区防火墙/24从数据包中发现，QQ用户的字段在应用层OICQ协议的Data字段。该需求需要识别特定的QQ用户，而传统的行为检测只能对链路层、网络层、传输层进行数据处理，不能对应用层进行操作。应用特征识别技术传统行为检测VS深度行为检测应用特征识别技术链路层头部IP头部传输层协议头部数据内容链路层头部IP头部传输层协议头部数据内容传统行为检测范围深度行为检测范围深度行为检测技术产生背景：传统技术无法识别精细的数据包应用和行为，无法识别经过伪装的数据包，无法满足现在的安全需求和可视需求。应用特征识别技术深度行为检测技术深度包检测技术（DPI）深度流检测技术（DFI）（1）可视化全网（2）流量精细化管理（3）减少或延迟带宽投入，降低网络运营成本（4）及时发现和抑制异常流量（5）透视全网服务质量，保障关键业务质量（6）丰富的QoS提供能力优点：深度包检测技术（DPI）深度包检测不仅检测源地址、目的地址、源端口、目的端口以及协议类型，还增加了应用层分析，另外识别各种应用及其内容。应用特征识别技术基于“特征字”的检测技术基于应用网关的检测技术基于行为模式的检测技术深度包检测技术分类1、基于“特征字”的检测技术（DPI）客户需求：在客户局域网中只允许电脑上网，不允许手机上网。需求分析：该需求需要能够识别哪些上网数据是手机端发出的，哪些是PC端发出的。通过数据包分析，发现手机和电脑在同时上网的时候（同时使用HTTP协议）会在HTTP协议的User-Agent字段区分出手机数据和PC数据。应用特征识别技术基于“特征字”的检测技术（DPI）不同的应用通常依赖于不同的协议，而不同的协议都有其特殊的特征，这些特征可能是特定的端口、特定的字符串或者特定的Bit序列。基于“特征字”的识别技术通过对业务流中特定数据报文中的特征信息的检测以确定业务流承载的应用和内容。通过对应用特征信息的升级（例如http数据包中的User-Agent的位置），基于特征的识别技术可以很方便的进行功能扩展，实现对新协议的检测。应用特征识别技术1.固定位置特征字匹配3.多连接联合匹配以及状态特征匹配2.变动位置的特征匹配基于“特征字”的检测技术分类2.基于应用层网关的检测技术（ALG）某些应用的控制流和数据流是分离的，数据流没有任何特征。这种情况下，我们就需要采用应用层网关识别技术。应用层网关需要先识别出控制流，根据对应的协议，对控制流进行解析，从协议内容中识别出相应的业务流。客户需求：禁用VoIP视频。需求分析：VoIP视频协议是先使用控制信令来协商数据的传输，之后进行数据流的传输。VoIP视频数据交换过程抓包如下：应用特征识别技术基于应用层网关的检测技术--VoIP视频协议数据流VoIP视频协议的数据流可以看到是基于UDP的，跟踪数据流，发现该数据没有任何特征，但是VoIP在进行数据传输前是有控制信令来协商数据的传输。应用特征识别技术基于应用层网关的检测技术--VoIP协议的控制信令1应用特征识别技术基于应用层网关的检测技术--VoIP协议的控制信令2应用特征识别技术3.基于行为模式的检测技术基于对终端已经实施的行为的分析，判断出用户正在进行的动作或者即将实施的动作行为模式识别技术通常用于无法根据协议判断的业务的识别。例子：垃圾邮件行为模式识别SPAM（垃圾邮件）业务流和普通的Email业务流从Email的内容上看是完全一致的，只有通过对用户行为的分析，才能够准确的识别出SPAM业务。应用特征识别技术邮件服务器一个小时发一封邮件一个小时发一万封邮件深度流检测技术（DFI）DFI采用的是一种基于流量行为的应用识别技术，即不同的应用类型体现在会话连接或数据流上的状态等各有不同。基于流的行为特征，通过与已建立的应用数据流的数据模型对比，判断流的应用类型或业务。DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型