針對上述兩種方案,我們分別做了測試。
我們選取了國內知名廠商深信服的無線管控設備進行測試,設備型號為AC-2000,以橋接模式部署,部署位置是在防火墻和核心交換機之間。
本次測試的重點是觀察無線管控產品對無線終端上網行為的管理效果,主要關注的功能是細致的應用行為管理、無線熱點和移動終端管控、各種日志信息查詢和報表的生成。
經過一個月的在線測試,測試結果如下:
當手機、PAD、PC等終端通過無線接入上網時,在無線管控設備上能看到移動終端的IP、所屬用戶組、通過規(guī)則發(fā)現的終端類型及發(fā)現時間。
判斷是否是移動終端接入,主要通過AC內置的移動應用規(guī)則來識別,其中包括IM社交、在線視頻、生活、新聞資訊、地鐵、下載客戶端、移動瀏覽器、PC端手機助手等類型的應用,例如微信、移動QQ、新浪微博、優(yōu)酷、91助手等常見手持終端的App應用。
通過無線接入的方式,包括 360WiFi、小米WiFi、小度 WiFi、無線路由器、PC上安裝的共享上網軟件等,一旦移動終端接入上網,AC就能發(fā)現,如下圖3所示。
把合法IP和用戶加入信任列表后,通過這些IP網段上網和使用這些用戶名上線的移動終端,將不會出現在移動終端發(fā)現的列表中。
對新發(fā)現的違法移動終端,可選擇“拒絕此移動終端”,禁止該移動終端上網,此時經過該IP的所有訪問將會被拒絕;或者“發(fā)送告警郵件”,提醒管理員該IP有非法的移動終端接入。
圖3 深信服AC檢測效果圖1
圖4 深信服AC檢測效果圖2
圖5 深信服AC檢測效果圖3
圖6 深信服AC檢測效果圖4
從圖4可以看出,AC設備能夠針對最近7天、30天每天發(fā)現的移動終端數量做一個趨勢統計,便于管理員掌握無線接入的相關情況。
通過配置上網權限策略,開啟防止共享上網檢測,將單IP允許的最大終端數設置為1的時候,具體配置情況示例如圖5所示。
之后我們內部私接一臺無線路由器,共享IP設置為172.19.4.90,這時我們在AC設備的控制平臺上可以直接看到共享的IP地址和連接終端類型。
我們在未設置策略,即不做任何管控的情況下,利用手機或者筆記本連接該路由器共享上網一切正常。
我們通過控制臺開啟共享上網策略,并將行為策略設置為禁止時,再利用安卓手機訪問新浪網頁,瀏覽器提示信息如圖6所示。
從圖6可以看出,這臺筆記本電腦連接共享路由器172.19.4.90后,訪問互聯網的通道被阻斷,已經無法正常使用互聯網。由此可見,針對這種無線路由器的管控,效果還是立竿見影的。
本方案測試的重點是無線路由器檢測程序檢測的效果,為了便于演示,本文將檢測程序的四個模塊進行了集成,開發(fā)出一個圖形界面,下面將逐步展示檢測的過程。
1.圖形界面是基于Visual Studio 2010平臺開發(fā)的,在Windows系統中雙擊可執(zhí)行文件即可,圖7是檢測程序啟動的界面。
從圖7可以看出,圖形界面上分為四個標簽頁,每個標簽頁分別代表了一個模塊,整個檢測流程就是依次執(zhí)行這四個模塊。
2.進行IEEE MAC地址庫查詢;點擊“MAC地址庫查詢”標簽下的“查詢”按鈕,查詢出的結果就是IEEE給出的MAC地址分配表,共有近二萬條,分配范圍覆蓋了全球了的網絡設備廠商。
3.篩選無線MAC地址庫;點擊“無線MAC庫查詢”標簽。
然后選擇無線廠商,目前我們僅入庫了TP-Link和D-Link兩家廠商,后期可以收集更多無線MAC分配信息進行擴展。下面我們以TP-Link為例來進行說明。選中“TP-LINK”,然后點擊“MAC入庫”按鈕,完成后顯示如圖8所示。
圖8說明無線MAC信息入庫成功,我們可以點擊“查詢”按鈕進行查看。
查詢出來的結果就是分配給TP-LINK廠商的MAC地址段,這些信息將用于后續(xù)的掃描工作中。
圖7 檢測程序啟動界面
圖8 無線MAC入庫
圖9 啟動TFTP服務器
圖10 天津核心交換機ARP信息抓取圖
4.網關ARP數據抓?。稽c擊“ARP數據抓取”標簽。
由于需要將網關設備上的實時ARP信息導出,需要使用到TFTP服務,TFTP服務器可以隨意選擇,并沒有任何限制,本文選用的是Tftpd32這個輕量級的TFTP服務程序。此時需要先啟動TFTP服務,點擊“啟動TFTP服務”按鈕即可,如圖9所示。
從圖9可以看出,TFTP服務器已經啟動,下面我們以“天津核心交換機”為例來進行ARP數據抓取工作,選中“天津核心交換機”,然后點擊“ARP信息抓取”按鈕,如圖10。
圖10顯示天津核心交換機的實時ARP信息已經抓取出來,下一步需要將ARP信息寫入數據庫中;點擊“ARP信息入庫”按鈕。
入庫完畢后,選擇查詢目標為天津核心交換機,點擊“ARP信息查詢”按鈕查詢剛抓取的ARP信息,如圖11所示。
圖11查詢出的內容就是天津核心交換機上的實時ARP信息,主要包括IP地址和對應的MAC地址,這也將應用于無線節(jié)點掃描。
4.進行無線節(jié)點掃描工作。點擊“掃描無線節(jié)點”標簽。
掃描對象選擇“天津核心交換機”,然后點擊“開始掃描”按鈕,即可啟動掃描程序。
掃描工作執(zhí)行完畢后,就可以從數據庫中查詢到局域網內TP-Link無線路由器的相關信息了,選擇查詢對象為“天津核心交換機”,點擊“查詢無線節(jié)點”,即可獲得最終的無線路由器掃描結果。
圖11 天津核心交換機ARP信息查詢
從掃描結果圖右邊的表格中就可以看到當前局域網內的TP-Link無線路由器的相關信息,包括了序號、無線路由器MAC地址、IP地址、位置(接入交換機端口)、廠商和掃描時間。有了這些信息,就可以與無線路由器登記表中的信息進行對照,找出非法接入的無線路由器,結合點位圖,就可找到非法接入點的物理位置。由于核心交換機上的ARP信息會定時進行更新,所以如果新接入了無線路由器,ARP信息也會同步更新,檢測程序也能夠立即檢測出該無線路由器。