192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

查找企业网中非法接入的WIFI设备(上)

发布时间:2016-08-13 00:26

一、企业网络安全管理面临的新问题

现在计算机和移动智能设备越来越普及,有一些企业网用户不再满足于只让实名登记的、有实际办公用途的计算机上网,他们把家中的笔记本、智能手机、平 板电脑带到单位,通过非法架设SOHO路由器、随身WIFI、安装免费WIFI软件等,绕过网络管理员的检测,实现非法接入企业网,然后就可以通过他们自 己的设备实现一些移动平台的网络应用。这些SOHO路由器、随身WIFI的一个大卖点:“就是可以绕过检测,隐匿接入”,因为这些设备都可以关闭信号的广 播发送,通过信号检测的方法也搜不到。

非法接入问题困绕了各个企业网的管理员,互联网论坛也随处可见各种讨论贴,但是都没有很好的解决办法。用户的非法接入行为给整个企业网络带来三个方面的严重影响:

1、最坚固的堡垒,往往都是从内部被攻破的,架设这些接入点的用户,他的本意可能不是破坏网络,但是他却为网络的安全留下了缺口。随处可见的接入 点,让一个进入企业区域内的陌生人都可以接入到企业网络中,各级昂贵的网络边界设备都被绕过。众多非法接入点的存在,从某种意义上说,让企业网的一些区域 变成了开放的网络,如果有人真想在网络内部搞点黑客行为是非常容易的。

2、大量合法的网络用户抱怨“带宽都去哪儿了”,非法接入的计算机和移动设备占用了大量的带宽,让整个企业网的运行效率降低。

3、破坏了网络管理的严肃性,让用户认为:“不被发现的,就是可做的”,为后继破坏网络的行为开了一个不好的先例。

二、几种常见的非法接入企业网方法

笔者从事网络管理工作多年,对用户的非法接入网络的方法十分了解,现详细介绍一下,这几种方法利用的都是IP-MAC地址绑定这个漏洞,IEEE规 定每台计算机的网卡MAC地址是全球唯一的,所以在企业网的联网设备管理中基本上都是通过MAC地址加IP地址来识别1台联网设备,但这种管理办法现在已 经面临挑战。

1、 SOHO路由器接入(分无线和有线)方法

SOHO路由器接入是一种“传统”的非法接入方法,最早是家庭宽带用户,通过这种方法把家里多台上网设备连网、多个家庭共享一条宽带等等,早年间, 中国电信也是被此设备深深困扰。在家庭宽带中各用户都是PLAN隔离的,家庭用户这么去用,在安全方面对电信部门没有影响,顶多用点流量,但是在企业网中 这种接入对安全影响很大,因企业网的用户之间是很少做安全隔离的。

这种非法接入方法,步骤分为4步:

(1)张三通过合法的流程从网络管理部门申请一个IP地址并要求联网。

(2)当网络管理员实地查看用户的计算机后,给其联网并完成IP地址实名制登记、IP-MAC绑定,由于IEEE规定MAC地址是全球“唯一”的, 所以通过MAC地址和IP地址的绑定来识别张三的这台计算机,原则上“没有什么问题”。至此正常联网流程结束,张三可以上网了,如图1所示:

(3)张三私自购买并安装SOHO路由器,这种路由器的一大特点是可以克隆MAC地址,也就是说路由器的接口MAC地址可以改成和张三计算机网卡 MAC地址一模一样的,这样网络管理员看到的还是张三的计算机,其实那个MAC地址已经变成了路由器,路由器下面可以连N多的计算机,SOHO路由器克隆 MAC界面如图2所示。

图2:SOHO路由器可以随心所谓的改MAC地址

(4)SOHO路由器私接成功后,张三掌握了一个企业网接入点,他可以把自己的、同事的上网设备连上企业网,如果他把路由器接入密码保存的好,可能 接入的用户范围很小,如果他大公无私的把密码公开,在他的那个范围内,谁都可以连入企业网,张三私接SOHO路由器后,连网拓扑如图3所示。

图3:私接SOHO路由器后,张三连网拓扑

2、随身WIFI接入方法

自从2013年6月360公司首先推出19.9元的360WIFI之后,小米公司和百度公司也推出了小米WIFI和小度WIFI,随身WIFI开始 在企业网内泛滥,这些产品一方面确实象他们公司宣传的那样“无需培训、即插即用、小巧玲珑、价格低廉、安装方便,是居家旅行必备良品”,它极大的简化了无 线智能设备接入网络,但另一方面,WIFI热点在企业网内的泛滥,对网络管理员来说却是一场噩梦,企业网可随处可见的安全性极低的接入点,严重的威胁着企 业网络的安全、企业的各种信息也处于不安全的状态,所以重点要杜绝这种随身WIFI的泛滥。

( 作者:E网情深 )

关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明