沈宏杰

【摘要】? ? 使用網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)對接入終端進(jìn)行身份呢認(rèn)證、安全檢查、授權(quán)訪問，只允許合法的、值得信任的終端接入網(wǎng)絡(luò)。結(jié)合國家電網(wǎng)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行研究，提出一種針對物聯(lián)網(wǎng)終端視頻設(shè)備的準(zhǔn)入控制的方案，從而提高網(wǎng)絡(luò)的可用性和安全行。

【關(guān)鍵詞】? ? 網(wǎng)絡(luò)準(zhǔn)入? ? 視頻設(shè)備? ? 身份認(rèn)證? ? 阻斷? ? 物聯(lián)網(wǎng)終端

Abstract：The network access control technology is used to perform identity authentication， security check， and authorized access to the access terminal， and only legal and trustworthy terminals are allowed to access the network. Based on the research of the status quo of the national grid network， this paper proposes a scheme for access control of IoT terminal video equipment， which can improve the availability and security of the network.

Key words：Network access， video equipment， authentication， blocking， IoT terminal

引言

隨著國家電網(wǎng)公司堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)的不斷推進(jìn)，電力業(yè)務(wù)系統(tǒng)的建設(shè)、管理水平要求也越來越高，輸變電狀態(tài)在線監(jiān)測系統(tǒng)的建設(shè)已逐漸成為公司加強(qiáng)業(yè)務(wù)系統(tǒng)安全、質(zhì)量、進(jìn)度管控的有效手段。公司輸變電狀態(tài)在線監(jiān)測系統(tǒng)通過遠(yuǎn)程視頻實(shí)現(xiàn)輸電線路、桿塔的現(xiàn)場運(yùn)行情況監(jiān)控，便捷、實(shí)時(shí)的了解、監(jiān)督現(xiàn)場情況，及時(shí)與現(xiàn)場人員溝通交流，提高業(yè)務(wù)管理水平，豐富管理手段，為業(yè)務(wù)可視化運(yùn)維、管理提供技術(shù)支撐。

新視頻終端、老舊視頻終端接入公司信息內(nèi)網(wǎng)需求迫切，安全接入已成為公司現(xiàn)有安全防護(hù)體系的短板，因此，有必要開展公司輸變電狀態(tài)在線監(jiān)測系統(tǒng)視頻終端接入安全防護(hù)方案設(shè)計(jì)，應(yīng)對公司新形勢下的安全挑戰(zhàn)，有效降低與規(guī)避風(fēng)險(xiǎn)，遏制視頻應(yīng)用帶來的負(fù)面影響。

一、傳統(tǒng)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)方案

常用的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)有以下五種[1]：802.1x準(zhǔn)入控制、DHCP準(zhǔn)入控制、網(wǎng)關(guān)準(zhǔn)入控制、MVG準(zhǔn)入控制、ARP準(zhǔn)入控制，對于這五種技術(shù)的描述以及優(yōu)缺點(diǎn)，具體見表1。

二、針對視頻設(shè)備準(zhǔn)入方案

基于以上網(wǎng)絡(luò)準(zhǔn)入技術(shù)，針對視頻設(shè)備的網(wǎng)絡(luò)準(zhǔn)入控制，可以采取設(shè)備指紋識別、主動(dòng)和被動(dòng)探測、聯(lián)合準(zhǔn)入的步驟。

2.1設(shè)備指紋識別

2.1.1域名和流量信息識別設(shè)備指紋

將某攝像頭連接到局域網(wǎng)中，同時(shí)打開該攝像頭對應(yīng)的APP進(jìn)行操作，通過虛擬網(wǎng)卡對攝像頭流量進(jìn)行抓包，分析數(shù)據(jù)包中特征。發(fā)現(xiàn)與攝像頭通信的服務(wù)器有三個(gè)：esd.h.reservehemu.com、h.andmu.cn、視頻上傳服務(wù)器，其中視頻上傳服務(wù)器為動(dòng)態(tài)獲取IP具體見表2。

由于這些IP是兩個(gè)服務(wù)器傳給攝像頭的，僅僅從流量中很難找到完整的IP列表。這里嘗試用Nmap[2]按照24網(wǎng)段掃描了上表IP對應(yīng)的5個(gè)網(wǎng)段（1280個(gè)主機(jī)），一共發(fā)現(xiàn)116臺(tái)主機(jī)開啟了50920端口。掃描結(jié)果見圖1。

結(jié)論：直接通過視頻上傳服務(wù)器無法作為指紋，IP的數(shù)量太多了，并且可能會(huì)變化。根據(jù)esd.h.reservehemu.com和h.andmu.cn兩個(gè)域名可以識別出云端是中移物聯(lián)，云端和攝像頭之間通信加密：TLSv1.2，特征端口：50920。攝像頭通過TCP上傳圖像到服務(wù)器的50920端口。攝像頭上傳圖像過程中的流量較大，一般從帶寬占用情況看，如果某一個(gè)設(shè)備突然占用上行帶寬1M～4M，說明該設(shè)備很可能是攝像頭。結(jié)合域名和通信端口，可確定設(shè)備指紋。

2.1.2組播信息識別指紋

組播傳輸，是有區(qū)別于單播（一對一傳播）和廣播（子網(wǎng)內(nèi)所有設(shè)備都收到數(shù)據(jù)）傳輸?shù)模柚M播路由協(xié)議[3]，對于多個(gè)用戶需求信息時(shí)，源頭只用發(fā)送一次數(shù)據(jù)，在信息盡可能遠(yuǎn)的分岔口才會(huì)復(fù)制和分發(fā)。

選取某一款攝像頭進(jìn)行分析，其中用到了組播協(xié)議。經(jīng)分析發(fā)現(xiàn)組播地址為：224.0.0.251，組播內(nèi)容：_inter._tcp.local。最終對MDNS信息展開，得到設(shè)備指紋：HIKVISION&CS-C2C-1A1WFR&142275593&ALARMREPORT._smart._tcp.local。數(shù)據(jù)的周期性和關(guān)鍵字見表3和表4。

2.2主動(dòng)和被動(dòng)探測

有了設(shè)備指紋信息后，針對網(wǎng)絡(luò)內(nèi)的設(shè)備，有兩種發(fā)現(xiàn)方式。

主動(dòng)模式部署探測引擎。配置需要探測的IP段之后，探測引擎首先會(huì)對IP段中的IP和端口進(jìn)行掃描，確定IP被設(shè)備使用后，主動(dòng)發(fā)送特殊構(gòu)造的數(shù)據(jù)包，來返回操作系統(tǒng)、MAC地址、設(shè)備類型、設(shè)備型號等具體設(shè)備信息。

被動(dòng)模式部署分析引擎，需要將鏈路中的流量通過鏡像/分光模式接到分析引擎上。對流量進(jìn)行監(jiān)測分析，獲取不同的設(shè)備類型，包括TTL值、TCP SYN包大小、TCP擴(kuò)展選項(xiàng)等信息。

2.3聯(lián)合準(zhǔn)入方案

探測引擎可以配置二層和三層模式。

二層模式下，探測引擎部署在二層網(wǎng)絡(luò)中，直接和前置交換機(jī)連接。此時(shí)探測引擎，對于在二層網(wǎng)絡(luò)中的設(shè)備，可以快速進(jìn)行掃描，發(fā)現(xiàn)設(shè)備。根據(jù)配置的準(zhǔn)入策略，采用ARP欺騙方式實(shí)現(xiàn)準(zhǔn)入控制[4]。具體為通過向非法設(shè)備發(fā)送虛擬ARP包，使其得到錯(cuò)誤的網(wǎng)關(guān)及被保護(hù)設(shè)備的MAC地址，達(dá)到非法設(shè)備不能正常網(wǎng)絡(luò)連接。在二層網(wǎng)絡(luò)中，發(fā)送ARP欺騙包的方式效率較高。

三層模式下，探測引擎部署在三層網(wǎng)絡(luò)中，與核心交換機(jī)連接，要求和二層交換機(jī)網(wǎng)絡(luò)可達(dá)。這里采用SNMP簡單網(wǎng)絡(luò)管理協(xié)議和802.1x相結(jié)合的方法[5]，直接通過探測引擎向與設(shè)備最接近的交換機(jī)，發(fā)送交換機(jī)阻斷指令，對終端設(shè)備進(jìn)行準(zhǔn)入管理。

對于二層或三層探測模式，從準(zhǔn)入效果上都可以達(dá)到要求，部署模式由具體網(wǎng)絡(luò)環(huán)境而定。

三、結(jié)論

本文通過對傳統(tǒng)網(wǎng)絡(luò)準(zhǔn)入方案的分析，結(jié)合視頻終端的特性，重點(diǎn)介紹了兩種設(shè)備指紋的提取方法，并采用主動(dòng)和被動(dòng)的方式探測設(shè)備后，用聯(lián)合準(zhǔn)入的方式，對視頻設(shè)備準(zhǔn)入[6]的方案進(jìn)行了介紹。

視頻設(shè)備可以歸結(jié)為物聯(lián)網(wǎng)終端的一種，本文提到的方法，同樣適用于物聯(lián)網(wǎng)網(wǎng)絡(luò)中設(shè)備的準(zhǔn)入和認(rèn)證。

參? 考? 文? 獻(xiàn)

[1]劉敏.全面系統(tǒng)化的終端準(zhǔn)入控制[J].網(wǎng)管員世界，2011（5）：15-17.

[2]商廣明著.Nmap滲透測試指南[M].北京：人民郵電出版社，2015-10-01

[3]張三順， 夏輝， 張公敬. 基于波動(dòng)識別的可信組播路由協(xié)議[J]. 信息網(wǎng)絡(luò)安全， 2018， 216（12）：77-86.

[4]鄧衛(wèi)成.淺談ARP技術(shù)在終端網(wǎng)絡(luò)接入控制中的實(shí)際應(yīng)用[J].通訊世界，2014（20）：19-20.

[5]才國慶，周德新.SNMP技術(shù)在802.1x端口認(rèn)證系統(tǒng)中的應(yīng)用[J].桂林電子工業(yè)學(xué)院學(xué)報(bào)，2003（06）：83-87.

[6]洪小龍，陳崇平.視頻網(wǎng)終端安全準(zhǔn)入系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].廣東公安科技，2018，26（04）：5-7.