隔離網主機違規(guī)外聯(lián)檢測原理及實施方案

時間：2023-04-18 20:44:01 | 來源：網站運營

時間：2023-04-18 20:44:01 來源：網站運營

隔離網主機違規(guī)外聯(lián)檢測原理及實施方案：

隔離網主機違規(guī)外聯(lián)檢測原理及實施方案

一、前言概述

介紹如何檢測隔離網中電腦違規(guī)連接互聯(lián)網，以及具體實現(xiàn)的方法。通過在內網中實施流量監(jiān)聽，在內網特定網站上插入預設代碼，當內網主機訪問這個特定網站的時候，會出現(xiàn)嘗試訪問互聯(lián)網的動作，從而暴露有可能存在的內網主機違規(guī)連接互聯(lián)網的情況。

二、文章背景

很多重點行業(yè)都部署隔離網用于確保網絡安全，比如金融、能源、醫(yī)療、水利、電子政務等等。除正常的基礎投入外，隔離網建設還需要單獨部署光纜、光閘等隔離設備，投入較大，安全等級高。但由于眾所周知的原因很多隔離網并不安全。相當一部分單位，隔離網安全風險多如牛毛，個別隔離網遭受勒索病毒攻擊大面積癱瘓，行業(yè)性、區(qū)域性受災觸目驚心！

鑒于這種高危風險形勢的存在，很多隔離網運維部門相當關心在隔離網中可能存在的主機直接連入互聯(lián)網的風險，包括檢測并整治隔離網主機亂用互聯(lián)網U盤、違規(guī)連接互聯(lián)網wifi、使用雙網卡做邏輯隔離等等。

1、隔離網主機違規(guī)外聯(lián)現(xiàn)狀

一是服務器遠程運維風險。隔離網主機違規(guī)連接互聯(lián)網，情況最多并且后果最嚴重的是運維人員為解決遠程運維需要，在隔離網打通連入互聯(lián)網的隧道，導致隔離網可以被互聯(lián)網遠程訪問。這個情況不談。

二是雙網卡外聯(lián)風險。很多隔離網使用的是一體機電腦，這種電腦帶有無線網卡，使用者稍微有不慎就可能啟動本機無線網，有意或者無意連接到互聯(lián)網wifi。出現(xiàn)這種情況的電腦雖然占全網比例不大，但實際數(shù)量也并不少，容易導致感染病毒和數(shù)據(jù)泄密的風險。

三是終端主機假隔離。有的單位通過各種手段讓辦公電腦無法打開互聯(lián)網網站，號稱“無法聯(lián)網”，實際上電腦本身可以訪問互聯(lián)網任何IP。以很多醫(yī)院為例，號稱和互聯(lián)網隔離，辦公電腦無法打開互聯(lián)網網站，但每個醫(yī)生都有一臺辦公電腦用于給病人看病開藥，由于這些辦公軟件也會像我們TeaPot一樣經常莫名其妙出問題，所以很多電腦安裝了向日葵遠程控制軟件，一旦軟件出現(xiàn)問題以后，會有軟件售后服務通過向日葵遠程聯(lián)上來協(xié)助處理軟件問題。

看到這里有人會說，怎么會有這種事情？把向日葵給他卸了，讓他電腦不能聯(lián)網不就行了。那只能說這種人相當弱智。

2、當前隔離網主機違規(guī)外聯(lián)檢測

既然意識到違規(guī)外聯(lián)的風險隱患，那么如何發(fā)現(xiàn)這種違規(guī)外聯(lián)行為，就成了運維部門比較關心的問題。雖然如此，但市面上這種解決方案不多，尤其針對大量個人辦公終端的檢測更是比較復雜，綜合來講很多方案基于如下兩個原理：

一是依賴終端軟件。在隔離網電腦上安裝專用檢測軟件，如果這臺主機可以聯(lián)互聯(lián)網，那么終端軟件肯定可以檢測到。這種方法最為有效，但效果不好，因為如果存在故意連接互聯(lián)網的行為，電腦用戶肯定不會運行這個軟件；

二是依賴網絡流量。通過交換機上或防火墻上的流量，檢測是否存在與互聯(lián)網的通訊。這一點效果會相當差，因為隔離網的交換機本身是無法聯(lián)網的，就算網內有終端使用雙網卡上網的情況，流量也不會經過核心交換機。再加上幾乎所有辦公電腦上的軟件都會不斷正常訪問微軟、百度、360這類網站，所以這種流量檢測的做法誤報率高的無法接受。

既然違規(guī)外聯(lián)的問題比較嚴重，而且缺少較好的、便宜的檢測方案，那么我們就研究這個問題，解決這個問題！

三、簡易有效的解決方案

下面介紹一種針對隔離網內的主機進行網站劫持的技術方案，可以有效發(fā)現(xiàn)隔離網中的終端可能存在的違規(guī)外聯(lián)問題。當然這種方法也不是我首創(chuàng)的，但我們把這個功能集成到了TeaPot上，就實現(xiàn)了一個非常特殊的效果：不花錢。

1、方案原理

在隔離網內，通過控制內網DNS服務器，將隔離網某個特定的網站服務器指向一臺流量中轉服務器，當有用戶訪問這個網站的時候，流量中轉服務器一方面正常轉發(fā)網站數(shù)據(jù)，一方面在網頁中插入一段js腳本，也就是實施了內網針對特定網站的內容劫持。

當這段js腳本隨著網頁代碼一起下發(fā)到用戶電腦的時候，用戶的瀏覽器會嘗試執(zhí)行js腳本，如果js腳本的功能是訪問一個互聯(lián)網網站，那么這時候在互聯(lián)網網站上就會出現(xiàn)這個主機的訪問記錄，從而實現(xiàn)了檢測這個用戶是否違規(guī)連接互聯(lián)網的情況。

2、需要說明的問題

上面的方案，有些內容需要說明：

一是為什么不直接在隔離網的網站上直接嵌入這個js腳本？答案：肯定是可以的。但不方便控制，而且可能要處理很多網站。

二是js腳本會不會對用戶有其他影響。答案：控制js腳本的內容，不會對網站或者用戶有其他影響。

三是會不會觸發(fā)防火墻或殺毒軟件等安全機制。答案：應該不會觸發(fā)相關安全機制或引起相關報警。

四是可以在交換機上通過流量監(jiān)測實施嗎？答案：可以的，但交換機上控制流量實施應該成本比較高。

五是SSL加密的網站可以實現(xiàn)嗎？答案：可以實現(xiàn)，但我們軟件不提供針對SSL加密傳輸?shù)木W站檢測方案。

總之我這個方案是最簡單、便于部署的，而且可以隨時調整。

四、簡易有效的解決方案

上面的解決方案，我集成在我們的TeaPot安全輔助軟件上，以便實現(xiàn)簡單部署，下面以家庭網絡為例，講解配置和實施過程：

1、事前準備

在隔離網中，通過設置內網路由器、防火墻、DNS服務器等方式，將內網的DNS服務指向TeaPot軟件。這里前面有講述，比如我在家里，把家里路由器上的DNS服務設置成TeaPot所在的內網主機IP，這樣以來這個網絡里所有終端上網都會經過TeaPot轉發(fā)：







2、軟件參數(shù)配置

首先在內網選擇一個網站，比如大家經常使用的門戶網站等。然后將網站域名在軟件中配置，也就是下圖第一個選項。我這里設置了我們網絡安全協(xié)會的網站。

其次設置本機IP和網站端口，這么做的目的是將本機作為流量中轉主機，當用戶訪問上面網站的時候，執(zhí)行js腳本的插入動作。

再次是設置網站服務器IP和端口。流量中轉功能會把用戶流量轉發(fā)給這個內網的網站服務器，保證用戶訪問網站正常。

最后配置互聯(lián)網接受訪問的地址參數(shù)。這里感謝徐忠毅同學協(xié)助，使用了他的個人網站作為違規(guī)外聯(lián)的互聯(lián)網端監(jiān)測接口。配置如下圖：







3、軟件執(zhí)行過程

我做了個圖，水平比較差：







監(jiān)測執(zhí)行流程為：

1、內網用戶嘗試訪問內網某網站；

2、路由器上的DNS服務指向TeaPot軟件，當TeaPot監(jiān)測到用戶訪問指定的網站，會把把域名指向到本機的流量代理端口；

3、用戶主機根據(jù)TeaPot指引，訪問TeaPot的流量代理功能；

4、TeaPot流量代理功能向內網網站發(fā)起內容請求，當接收到數(shù)據(jù)后，在網站數(shù)據(jù)中插入了一條js代碼，如下：







5、用戶電腦接收到流量，打開網頁時候也會嘗試訪問上述指定的網站，如果該電腦處于連接互聯(lián)網狀態(tài)，則上述網站可以看到訪問記錄。我們在網站上做了個違規(guī)外聯(lián)的日志解析，可以獲取到聯(lián)網時候的公網IP和內網IP，如下：







請注意這里說的內網IP是隔離網中配置的內網IP，可以供管理員直接定位到發(fā)起違規(guī)外聯(lián)的隔離網主機。

五、總結

在當前缺少低成本違規(guī)外聯(lián)檢測方案的情況下，本文介紹了一種簡單有效的隔離網違規(guī)外聯(lián)主機的檢測方案，使用TeaPot可以簡單實現(xiàn)對這種違規(guī)外聯(lián)行為的檢測。

我們致力于揭示網絡安全現(xiàn)狀，倡導并直接提供低成本、高效率的安全解決方案，在本次問題解決過程中，感謝知道創(chuàng)宇的superhei專家、江蘇警校徐忠毅同學的協(xié)助。

另：由于軟件穩(wěn)定性需要改進，目前本功能版本TeaPot尚未發(fā)布，您可以參考該思路，使用其他替代解決方案實施。