需求背景
在解决发现移动终端的问题后,部分客户需要对此类接入的行为进行阻止,所以在企业的网络管理、在运营商代建的高校网络中出现了防共享上网的需求,即防代理、防一拖N的需求。
目前运营商以及企业需要面对共享上网主要带来的2个问题:
1、 在企业中,不少用户共享自己访问互联网的权限给其他用户,绕开了企业对用户设定的上网权限控制,使得原本没有上网权限的用户可以上网了,或者使得原本上网权限较低的用户拥有了较高的权限,给网络管理带来了诸多麻烦。
2、 在运营商承建和运维的高校网络中,遇到很多学生使用路由器或者其他软件方式,共享互联网的访问给其他同学或朋友,直接造成运营商的收益收到影响。
部署方案
防共享AC设备适合部署在网关位置、防火墙与交换机中间的网桥位置,都可起到很好的防共享上网的效果。在交换机一侧的旁路模式下,仅支持发现共享上网的行为,不能做到有效的阻断。
技术方案
发现共享上网的用户
当用户通过路由器、代理软件共享上网时,AC将通过先进的检测技术发现共享上网的IP、用户名、接入的终端数,并在防共享上网的状态界面显示出来。
核心技术:基于应用特征的方法 + 基于flash cookie的方法
基于应用特征的方法
AC设备内置防代理软件规则库,对最新热门软件唯一特征库进行识别,比如QQ、360安全卫士、搜狗拼音、迅雷、英雄联盟、穿越火线、快播、PPS、PPTV、风行、迅雷看看、暴风影音、爱奇艺影音、搜狐影音等
PC终端安装这些热门软件后,在使用该软件或者该软件进行更新时,我们的AC设备在网络出口处都能检测到来自于该IP的应用特征。 若发现有同一个用户账号下有2个或超过2个的IP接入,则判断为共享上网的行为,并自动检测到有2个或超过2个终端在接入。
基于flash cookie的方法
同Http Cookie一样,Flash Cookie也就是记录用户在访问Flash网页的时候保留的信息,鉴于Flash技术的普遍性,几乎所有的网站都采用,所以具有同Http Cookie一样的作用。但是相比起Http Cookie,Flash Cookie更加强大:
1、容量更大,Flash Cookie可以容纳最多100千字节的数据,而一个标准的HTTP Cookie只有4千字节;
2、FlashCookie没有默认的过期时间;
3、FlashCookie将被存储在不同的地点,这使得它们很难被找到。
用IE浏览器(任意浏览器均可)进入百度MP3搜索,在不登录百度帐号的情况下打开百度音乐盒,随便试听几首歌曲,这时可以看到在百度音乐盒的试听历史中会出现之前试听的歌曲。
接下来我们使用IE自带的删除功能来清除Cookie(也可以使用各种软件的清理Cookie功能),清理完之后再重新打开百度音乐盒,我们发现之前试听的歌曲信息居然还在,情况还不只如此,用任意一个浏览器打开百度音乐盒,都可以发现之前的试听历史,这就是Flash Cookie在起作用。
Flash Cookie也就是记录用户在访问Flash网页的时候保留的信息,鉴于Flash技术的普遍性,几乎所有的网站都采用,所以具有同Http Cookie一样的作用,只要当用户打开浏览器去上网,那么就能被AC记录到fash cookie的特征值。
由于flash cookie不容易被清除,而且具有针对每个用户具有唯一,并且支持跨浏览器,所以被用于做防共享检测,极大的减少了共享上网的漏判率和误判率,使得我们AC防共享方案成为了行业内技术领先、获得众多客户认可的解决方案。
技术优势:
漏判率低
以上两种方法是经过实际项目测试、研发改进后,我们选择的效果优秀的两种,任意一种方法检测到,AC都将判断该用户账号/IP存在共享上网的行为。
因此无论用户上网是在浏览网页,还是在打开应用,AC都能检测到。
误判率低
防代理应用特征规则针对每个用户具有唯一性,而flash cookie具有的唯一性、不易被清除性、支持跨浏览器的技术,都大大降低了误判的可能。
做策略冻结共享上网的用户
在发现该IP存在共享上网行为时,在上网权限策略中选择代理控制,开启防共享上网检测,设置单IP允许的最大终端数。
这里的最大终端数默认最小为1,最大为5,超过5个的终端无法接入上网。
此时,通过路由器或者其他代理软件上网的PC将无法打开新的网页或者应用,并会收到浏览器推送的提示页面:
设置冻结时间
针对已经被冻结的用户/IP,可设置冻结的时间1-720分钟。在过了冻结设置的时间后,该用户/IP可正常上网。该策略主要是从防共享在企业或高校中推广的便利性而设置,提醒该用户有共享上网的行为,在停止该行为之前,无法连续的正常上网。
示例:2台PC通过路由器共享上网被拒绝
两台PC通过一个路由器代理上网,PC A上登陆A用户的QQ, PC B上登陆B用户的QQ,这时候AC发现该路由器的IP有共享上网的行为。
PC A配置的IP为:3.6.9.33 , PC B配置的IP为:3.6.9.34
两台PC同时通过路由器上网,在AC上被发现IP为100.100.48.124的用户有共享上网的行为,下面接的终端数为2
在开启防共享上网检测功能,设置终端数为1时,这两台PC无法正常上网。
而在防共享上网的状态显示中,该IP被显示冻结:
由于设置的冻结时间为10分钟,在过十分钟后,该用户/IP可正常上网。
铭冠科技专注网络安全近十年,更多信息,敬请联系我们!
[产品型号] : 深信服AC防共享上网解决方案
[销售价格] : 面议
[公司名称] : 广州铭冠信息科技有限公司
[公司地址] : 广州市天河区科韵北路119号棠韵大厦303
[联系电话] : 020-85546375/85548284/13560355825
[联 系 人]: 叶先生 sales@gzmcrown.com