內(nèi)網(wǎng)異常IP發(fā)現(xiàn)及邊界安全防護(hù)提升

趙欣慧 王永翔 李旭輝

摘?要：內(nèi)網(wǎng)信息安全威脅不僅來(lái)自于網(wǎng)絡(luò)外部的攻擊，很大一部分是網(wǎng)絡(luò)內(nèi)部的安全威脅，而后者更為隱蔽，更加難以發(fā)現(xiàn)，同時(shí)造成的危害也更為嚴(yán)重。內(nèi)網(wǎng)異常IP的產(chǎn)生大多是由內(nèi)部人員的操作而產(chǎn)生的，異常IP的存在很容易導(dǎo)致內(nèi)外網(wǎng)安全隔離被打破，造成內(nèi)網(wǎng)信息泄露。事實(shí)上內(nèi)網(wǎng)IP安全很容易被忽略，其原因大多是缺乏相應(yīng)的網(wǎng)絡(luò)安全認(rèn)知，最主要是缺乏一套有效的內(nèi)網(wǎng)IP地址管理工具。文章從網(wǎng)管員實(shí)際工作中得出經(jīng)驗(yàn)，研究出一個(gè)高效創(chuàng)新的內(nèi)網(wǎng)異常IP管理手段，能夠準(zhǔn)確查找異常IP地址，并定位網(wǎng)絡(luò)中的惡意攻擊和網(wǎng)絡(luò)故障，減少網(wǎng)管員負(fù)擔(dān)，提升工作效率。

關(guān)鍵詞：內(nèi)網(wǎng)威脅;異常IP;網(wǎng)絡(luò)故障;提升效率

1 背景

據(jù)統(tǒng)計(jì)，國(guó)內(nèi)網(wǎng)絡(luò)信息安全造成的損失70%源于網(wǎng)絡(luò)內(nèi)部人員泄密，內(nèi)網(wǎng)數(shù)據(jù)泄露所造成的損失數(shù)以?xún)|計(jì)。因此建立安全的內(nèi)網(wǎng)網(wǎng)絡(luò)環(huán)境，防范來(lái)自網(wǎng)絡(luò)內(nèi)部的安全威脅，已經(jīng)是重中之重。

物理隔離的內(nèi)網(wǎng)所面臨的安全威脅既包括黑客攻擊、病毒感染等，也包括內(nèi)部人員泄密?，F(xiàn)在內(nèi)網(wǎng)主要采取邊界防火墻等技術(shù)手段進(jìn)行防護(hù)，但日益嚴(yán)峻的網(wǎng)安形勢(shì)，使傳統(tǒng)的防火墻越來(lái)越難以檢測(cè)和阻擋。無(wú)論是Windows、Unix以及Linux系統(tǒng)都容易遭受網(wǎng)絡(luò)攻擊。而內(nèi)網(wǎng)異常IP地址的存在確實(shí)大大增加了局域網(wǎng)被入侵的風(fēng)險(xiǎn)。因此一個(gè)有效的內(nèi)網(wǎng)IP管理系統(tǒng)是十分必要的。本文從網(wǎng)管員日常繁瑣的異常IP地址管理問(wèn)題出發(fā)，特別是內(nèi)網(wǎng)異常IP的發(fā)現(xiàn)和展示，開(kāi)發(fā)了一套內(nèi)網(wǎng)異常IP安全管理工具。

2 內(nèi)網(wǎng)現(xiàn)狀

2.1 異常IP產(chǎn)生原因

在內(nèi)網(wǎng)網(wǎng)絡(luò)辦公環(huán)境中，內(nèi)網(wǎng)終端用戶(hù)的IP地址通常由網(wǎng)管員負(fù)責(zé)統(tǒng)一分配管理，網(wǎng)管員通過(guò)相關(guān)規(guī)章制度審批下發(fā)的IP地址才能被內(nèi)網(wǎng)終端用戶(hù)合法使用，此類(lèi)用戶(hù)被稱(chēng)為合法用戶(hù)。相反沒(méi)有經(jīng)過(guò)網(wǎng)管員審批備案的IP地址出現(xiàn)在內(nèi)網(wǎng)中都被視為異常IP地址。但在終端機(jī)器多數(shù)是Windows或Linux操作系統(tǒng)環(huán)境下，用戶(hù)機(jī)器IP地址很容易發(fā)生變動(dòng)，再加上廠(chǎng)家在設(shè)備運(yùn)維中使用的管理口空閑IP地址、插手機(jī)形成的虛擬IP，這樣就產(chǎn)生了內(nèi)網(wǎng)異常IP地址。而現(xiàn)實(shí)中，在局域網(wǎng)中會(huì)同時(shí)存在辦公內(nèi)網(wǎng)和辦公外網(wǎng)，有些部門(mén)會(huì)在辦公室私接路由器，這樣就產(chǎn)生私有IP地址，如果操作失誤就會(huì)造成內(nèi)外網(wǎng)通路，產(chǎn)生非法外聯(lián)事件，因此異常IP的管理迫在眉睫。

2.2 異常IP帶來(lái)的問(wèn)題

在網(wǎng)絡(luò)運(yùn)行管理工作中，管理員負(fù)責(zé)管理內(nèi)網(wǎng)用戶(hù)IP地址的審批下發(fā)，只有經(jīng)過(guò)網(wǎng)管員審批下發(fā)的IP地址才能被用戶(hù)合法使用，否則都應(yīng)視為IP非法使用。但由于windows操作系統(tǒng)下的終端IP地址很容易被更改，再加上內(nèi)網(wǎng)有些部門(mén)辦公室私接的路由器，和機(jī)房設(shè)備運(yùn)維人員安裝、調(diào)試、維護(hù)所留下的空閑IP等，都會(huì)造成IP地址非法使用的問(wèn)題。這樣會(huì)造成：（1）異常的IP地址不在網(wǎng)管員備案，無(wú)法進(jìn)行通訊和查找。（2）造成IP地址沖突，干擾、破壞網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備的正常運(yùn)行。（3）冒用合法用戶(hù)IP地址聯(lián)網(wǎng)，使合法用戶(hù)的權(quán)益受到侵害等。（4）被黑客冒用合法用戶(hù)的IP地址，攻擊內(nèi)部網(wǎng)絡(luò)。（5）網(wǎng)絡(luò)故障無(wú)法準(zhǔn)確定位。

2.3 現(xiàn)有管控手段

（1）IP-MAC地址綁定。網(wǎng)管員常用的技術(shù)手段是在可管理交換機(jī)上對(duì)內(nèi)網(wǎng)合法IP地址進(jìn)行IP地址和MAC地址綁定。同網(wǎng)段192.168.250.1/24的網(wǎng)絡(luò)尋址是通過(guò)MAC地址來(lái)實(shí)現(xiàn)的，而不同段192.168.250.1/24—10.10.110.1/24之間的通訊才會(huì)用到IP地址尋址。在不修改MAC地址的情況下，通過(guò)IP-MAC地址綁定可以阻止用戶(hù)IP地址變動(dòng)。

（2）端口綁定。網(wǎng)管員通過(guò)交換機(jī)的端口—MAC地址綁定技術(shù)手段，可以阻止通過(guò)修改MAC地址來(lái)侵占合法用戶(hù)IP地址的問(wèn)題。

（3）劃分辦公局域網(wǎng)。劃分Vlan而是管理與技術(shù)結(jié)合的手段。將相同辦公室終端機(jī)器IP地址規(guī)劃到到同一個(gè)VLAN上，可以有效的阻止其他網(wǎng)段異常IP侵入的行為。

（4）身份認(rèn)證。為了避免直接授權(quán)使用IP地址的管理模式，通過(guò)合規(guī)和身份認(rèn)證來(lái)多層次進(jìn)行安全信息防護(hù)，能有效降低IP地址非法使用的危害。

（5）形成工作標(biāo)準(zhǔn)，內(nèi)網(wǎng)終端禁止更改IP地址。IP地址與身份認(rèn)證相結(jié)合，并通過(guò)網(wǎng)管中心制定的相關(guān)制度約束。

3 技術(shù)引入和研究?jī)?nèi)容

3.1 技術(shù)引入

在現(xiàn)有的局域網(wǎng)IP地址管理技術(shù)上，應(yīng)該引入一個(gè)新型的管控工具，要能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)中的異常IP地址，彌補(bǔ)人為查找的滯后性和局限性，及時(shí)發(fā)現(xiàn)惡意攻擊等威脅事件，并記錄相應(yīng)日志。本文主要目的就是在分析內(nèi)網(wǎng)內(nèi)部的異常IP問(wèn)題上設(shè)計(jì)一個(gè)內(nèi)網(wǎng)異常IP管理工具，為信息管理人員掌握網(wǎng)絡(luò)情況、發(fā)現(xiàn)并處理網(wǎng)絡(luò)中的威脅事件提供了可靠依據(jù)，簡(jiǎn)化了工作流程，極大提高工作效率。

研究?jī)?nèi)容包括以下方面：（1）數(shù)據(jù)包的抓取及數(shù)據(jù)包解碼分析。（2）內(nèi)網(wǎng)異常IP的發(fā)現(xiàn)。在交換機(jī)的trunk口，通過(guò)數(shù)據(jù)抓包和分析，呈現(xiàn)每個(gè)VLAN的在線(xiàn)IP情況，發(fā)現(xiàn)內(nèi)網(wǎng)中的異常IP，進(jìn)而找出非法路由器。（3）網(wǎng)絡(luò)威脅事件的研究。例入SQL注入攻擊、ARP攻擊等事件，通過(guò)數(shù)據(jù)抓包分析，研究相關(guān)事件的特征及原理。（4）終端識(shí)別，自動(dòng)識(shí)別windows、linux、安卓、iphone等終端。（5）可視化展示。以報(bào)表、日志的形式記錄用戶(hù)的網(wǎng)絡(luò)行為，管理員可進(jìn)行安全審計(jì)。

3.2 研究過(guò)程

本次研究的內(nèi)網(wǎng)異常IP安全防護(hù)輔助工具是在網(wǎng)絡(luò)數(shù)據(jù)抓包分析的基礎(chǔ)上，為了方便信息管理人員掌握網(wǎng)絡(luò)的安全情況，提升網(wǎng)絡(luò)的安全性。

具體過(guò)程如下：（1）研究數(shù)據(jù)包抓包及數(shù)據(jù)分析解碼，這是本次研發(fā)的基礎(chǔ)。（2）威脅事件及其通信原理研究，例如：例入SQL注入攻擊、ARP攻擊、惡意域名等。（3）確定研發(fā)總體框架及方案，對(duì)系統(tǒng)進(jìn)行整體規(guī)劃。（4）確定系統(tǒng)開(kāi)發(fā)方案，對(duì)要實(shí)現(xiàn)的功能分模塊開(kāi)發(fā)。（5）開(kāi)發(fā)的系統(tǒng)分模塊功能測(cè)試。（6）分模塊功能測(cè)試后，系統(tǒng)整體功能測(cè)試。（7）入網(wǎng)測(cè)試。（8）驗(yàn)收。

3.3 研究?jī)?nèi)容

本次研究包括內(nèi)網(wǎng)異常IP發(fā)現(xiàn)、終端識(shí)別、網(wǎng)絡(luò)端口掃描檢測(cè)、網(wǎng)絡(luò)故障定位和監(jiān)控，實(shí)現(xiàn)邊界安全防護(hù)提升等功能。

（1）異常IP發(fā)現(xiàn)。通過(guò)交換機(jī)trunk端口獲取所有VLAN的信息，系統(tǒng)通過(guò)數(shù)據(jù)包解碼分析實(shí)現(xiàn)IP資源統(tǒng)計(jì)區(qū)分，自主定義內(nèi)網(wǎng)合法IP地址段和MAC地址，實(shí)現(xiàn)異常IP和MAC地址的發(fā)現(xiàn)，通過(guò)和交換機(jī)的配合實(shí)現(xiàn)異常IP的定位。并可以通過(guò)抓包分析識(shí)別網(wǎng)絡(luò)中的windows、linux、安卓、iphone終端類(lèi)型。

（2）威脅事件發(fā)現(xiàn)。通過(guò)深度網(wǎng)絡(luò)會(huì)話(huà)關(guān)聯(lián)分析、數(shù)據(jù)包解碼分析，基于病毒、后門(mén)木馬攻擊、拒絕服務(wù)、惡意掃描等規(guī)則特性，從而對(duì)網(wǎng)絡(luò)安全事件進(jìn)行精準(zhǔn)的定性分析，靈活的檢測(cè)網(wǎng)絡(luò)入侵?？梢园l(fā)現(xiàn)如特洛伊木馬、冰河木馬、灰鴿子木馬、永恒之藍(lán)木馬、永恒之石木馬等后門(mén)木馬攻擊;可以發(fā)現(xiàn)如ECHO_Cybercop_Scan、FTP_ADM_Scan、FTP_ISS_ScanHTTP_webspirs_request等可疑的掃描行為;可以檢測(cè)到如尼姆達(dá)、拉面蠕蟲(chóng)、沖擊波、Delphi夢(mèng)魔等病毒;可以進(jìn)行數(shù)據(jù)庫(kù)攻擊檢測(cè)：SQL注入、猜解注入、數(shù)據(jù)庫(kù)勒索、報(bào)警日志刪除等數(shù)據(jù)庫(kù)攻擊。

（3）網(wǎng)絡(luò)端口掃描檢測(cè)。通過(guò)安全策略規(guī)則庫(kù)，對(duì)網(wǎng)絡(luò)端口掃描、后門(mén)木馬、TCP、UDP等協(xié)議的滲透和攻擊進(jìn)行識(shí)別報(bào)警。

（4）網(wǎng)絡(luò)故障定位。通過(guò)系統(tǒng)內(nèi)置的網(wǎng)絡(luò)專(zhuān)家診斷設(shè)置對(duì)ARP掃描、ARP廣播風(fēng)暴、IP地址沖突，IP回環(huán)通信等網(wǎng)絡(luò)故障進(jìn)行檢測(cè)，利用矩陣圖顯示最大流量、最大節(jié)點(diǎn)數(shù)的TOP統(tǒng)計(jì)，用圖形來(lái)可視化呈現(xiàn)網(wǎng)絡(luò)故障。

（5）防火墻的聯(lián)動(dòng)。在通過(guò)對(duì)防火墻策略的數(shù)據(jù)解碼和學(xué)習(xí)后，能夠在發(fā)現(xiàn)威脅事件后自主生成防火墻的策略模板，實(shí)現(xiàn)機(jī)器對(duì)防火墻安全策略的自動(dòng)配置，防火墻形成聯(lián)動(dòng)。

（6）可視化。對(duì)協(xié)議、網(wǎng)絡(luò)流量等網(wǎng)絡(luò)諸元的可視化分析，準(zhǔn)確檢測(cè)安全事件，有助于防御未知威脅。通過(guò)可視化的矩陣展示廣播和異常會(huì)話(huà)的連接情況，直觀(guān)的幫助我們分析網(wǎng)絡(luò)異常狀況。提供多種類(lèi)型的阻斷方式，并提供獨(dú)立的存儲(chǔ)空間單獨(dú)保存阻斷日志數(shù)據(jù)。

4 內(nèi)網(wǎng)異常IP地址管理建議

（1）內(nèi)網(wǎng)網(wǎng)管員要制定嚴(yán)格的IP地址管理辦法，要終端用戶(hù)IP地址、MAC地址、用戶(hù)名等信息相對(duì)應(yīng)。要有一套針對(duì)內(nèi)網(wǎng)IP地址的備案下發(fā)、變更回收的處理辦法，以及相對(duì)應(yīng)的處罰措施。

（2）運(yùn)用交換機(jī)相應(yīng)技術(shù)功能，例如IP-MAC綁定等，重點(diǎn)監(jiān)管多發(fā)事件用戶(hù)非法行為。

（3）各辦公室劃分Vlan。將相同辦公室終端機(jī)器IP地址規(guī)劃到到同一個(gè)VLAN上，可以有效的阻止其他網(wǎng)段異常IP侵入的行為。

（4）部署本套IP管理工具。能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常IP地址，彌補(bǔ)人為查找的滯后性和局限性，提高網(wǎng)絡(luò)的安全可靠性，發(fā)現(xiàn)惡意攻擊等威脅事件，并記錄相應(yīng)日志。

（5）身份認(rèn)證，有效的身份認(rèn)證機(jī)制，弱化IP地址在身份認(rèn)證體系中的重要性。與IP地址非法使用的問(wèn)題類(lèi)似，用戶(hù)名和口令也屬于容易盜用的資源。

（6）內(nèi)部人員非法使用IP地址。網(wǎng)絡(luò)管理員除有法律手段和技術(shù)手段，還擁有各種內(nèi)部管理手段。如果單純使用技術(shù)手段來(lái)防范IP地址的非法使用，必然產(chǎn)生高昂的系統(tǒng)投資成本和人員開(kāi)支。因此，只有綜合運(yùn)用管理手段和技術(shù)手段，來(lái)處理IP地址非法使用問(wèn)題，才能實(shí)現(xiàn)高可靠性的系統(tǒng)運(yùn)行與低成本的管理維護(hù)的統(tǒng)一。

參考文獻(xiàn)：

[1]關(guān)亮杰.淺析企業(yè)內(nèi)網(wǎng)安全建設(shè)及其相關(guān)技術(shù)支持[J].珠江現(xiàn)代建設(shè)，2012（06）.

[2]楊鈺.基于IP地址的供電公司信息管理系統(tǒng)[J].軟件，2017（11）.

[3]李瑋.涉密信息系統(tǒng)物理隔離防護(hù)的設(shè)計(jì)與實(shí)現(xiàn)[D].浙江工業(yè)大學(xué)，2013.

[4]趙永勝.內(nèi)網(wǎng)非法外聯(lián)安全監(jiān)控系統(tǒng)的研究與設(shè)計(jì)[D].北京郵電大學(xué)，2010.

[5]王文.如何防止IP地址被盜用[J].福建電腦，2010（07）.