專利名稱:發(fā)現非法接入設備的方法
技術領域:
本發(fā)明涉及一種發(fā)現非法接入設備的方法�����,特別適用于及時發(fā)現內部網絡(局域 網)上未經允許的設備接入網內���,并能準確定位非法接入設備在網絡上的位置�。
背景技術:
內部網絡(局域網)非法接入問題����,是目前各大中型企業(yè)內網安全所面臨的重要 問題��。如何有效的對接入網絡的計算機及網絡設備進行監(jiān)控與管理��,是內部局域網能否安 全運轉的前提�。隨著信息化的推進和發(fā)展,各大中型企業(yè)內部網絡規(guī)模日益龐大��,網絡應用日益 頻繁。網絡的龐大化和復雜化���,導致網絡安全風險越來越嚴重�����。內網安全已成為各大中型 企業(yè)用戶極為關注的問題�����。對于各企事業(yè)單位����,如果局域網非法接入問題不能有效的解決��,其內部網絡則處 在一個不可控的狀態(tài)下����。任何人員都可以通過網內任意接口接入,盜用合法身份�,進行非法 活動,而網管人員卻無法及時有效的發(fā)現和阻斷?�,F有所采用的技術主要是基于網絡層的防非法接入技術���。這類技術是基于網絡互 聯設備的安全特性來實現的�����,目前可網管的交換機上基本都具有下述安全機制����。(1)基于端口綁定的防非法接入技術。該技術是通過對交換機的物理端口�,進行MAC和IP地址綁定設置,有效的控制網 內主機對局域網的訪問�����。該技術的優(yōu)點是對非法接入的控制����,安全高效。缺點是不適合大中型網絡的使用����, 其端口設置固定,客戶機無法靈活移動�。(2)基于IEEE802. Ix協(xié)議的防非法接入技術��。基于IEEE802. Ix協(xié)議的認證機制��,是一種基于用戶ID來進行交換機端口通訊 的身份認證����,被稱為“基于端口的訪問控制協(xié)議”。802. Ix認證系統(tǒng)由申請者�����、認證者以及 Radius認證服務器組成���。提供基于端口監(jiān)聽的網絡接入控制技術��。在網絡設備的物理接入 層對接入設備進行認證和控制�����。它將網絡設備接入端口邏輯上分為可控制端口和不可控制 端口��。根據用戶帳號和密碼�,由認證服務器認證���,以決定該端口是否打開���。對于非法用戶接 入或沒有用戶接入時�����,則該端口處于關閉狀態(tài)����。接入認證通過之后���,IP數據包在二層普通 MAC幀上傳送��。認證后的數據流和沒有認證的數據流完全一樣����,這是由于認證行為僅在用戶 接入的時刻進行�,認證通過后不再進行合法性檢查。當用戶斷網后����,如果需要再次連網,則 需要進行二次認證��。該認證機制����,是目前較為流行的一種網絡接入認證機制。其優(yōu)點是簡捷高效����、容 易實現、應用靈活����,是適用于大中型局域網的一種接入認證方式。缺點是該機制是基于用 戶及口令的認證���,對于大中型局域網來說��,網絡用戶數多�����,人員復雜���,多用戶多口令的安全 性不能有效得到保證,因此從管理角度來說��,口令泄密而導致非法接入用戶無法有效控制�����。由上所述,以上兩種當前所使用的技術對用戶的要求較高�,操作設置非常復雜,以后的維護工作量也很大��,而且效果不是很理想����,都有明顯的缺陷。
發(fā)明內容
本發(fā)明的目的是及時發(fā)現內部網絡上出現的非法接入設備�����,并在網管軟的件物理 拓撲圖上��,將非法接入設備標示出所連接的交換機和所連交換機的端口�����。本發(fā)明為了達到上述的目的����,所采取的技術方案是提供一種發(fā)現(內部網絡上 出現的)非法接入設備的方法,其具體的方法步驟是第一步,利用網管軟件的物理拓撲圖�����,將所管轄的局域網內(或稱內部網絡)所包 括的網管服務器����,核心交換機以及各個PC客戶端所連接的交換機全部置放在物理拓撲圖 上�,并在該物理拓撲圖上顯示出它們之間的相對位置及它們之間的相互連線;第二步����,通過SNMP(網絡管理協(xié)議)協(xié)議讀取上述物理拓撲圖上局域網內各個交 換機的MAC表信息,獲取各個交換機各個端口上所對應的MAC地址表信息���;第三步����,通過ARP (地址解析協(xié)議)協(xié)議和Netbios (網絡基本輸入/輸出系統(tǒng)協(xié) 議)協(xié)議�,獲取上述局域網內各個交換機上所連接的所有PC客戶端信息,包括PC客戶端的 IP地址和MAC地址�;第四步,采用MAC地址甄別方法�,獲得上述局域網內所有PC客戶端所連接的交換 機和交換機的端口信息,建立一個標準對照表�����,標準對照表上包括的字段有PC客戶端IP 地址、PC客戶端MAC地址��、所連接的交換機IP地址和所連接的交換機端口號��,該標準對照 表上的PC客戶端為上述局域網內的合法設備����;第五步,將上述標準對照表中的PC客戶端與所連接的交換機端口號之間的對應 信息���,通過SNMP協(xié)議����,自動寫入到所連接的交換機內�,該交換機設置PC客戶端IP地址、PC 客戶端MAC地址和交換機端口號的綁定操作���,不符合該綁定操作的為非法接入設備�,給予 禁止�;第六步,隨時重復上述第二、三���、四步���,重新獲取局域網內當前所有PC客戶端所連 接的交換機端口號信息,將新得到的信息與上述標準對照表進行比對��,若有不是標準對照 表上的����,而是新出現的PC客戶端地址����,則新出現的PC客戶端為非法接入設備;第七步��,根據上述非法接入設備所連接的交換機端口的信息�,將其在上述物理拓 撲圖上的局域網內標示出,并執(zhí)行關閉相應的交換機端口操作���,使非法接入設備與局域網 隔離���,保證局域網的安全。本發(fā)明用于發(fā)現內部網絡上非法接入設備的方法效果顯著。 如上述本發(fā)明的方法�,因為本發(fā)明采用了網管軟件的物理拓撲圖,在該物理拓 撲圖上顯示了全部所管轄的局域網內的設備����,包括網管服務器、核心交換機以及各個PC客 戶端所連接的交換機�。顯示了它們之間的相對位置及其真實的物理連線。能夠一目了然地 清楚地了解局域網(內部網絡)的真實部署�����。 如上述本發(fā)明的方法����,因為采用SNMP自動讀取網絡上各個網絡交換機上各個 端口的MAC地址表,又通過ARP協(xié)議和Netbios協(xié)議��,能夠自動獲取上述局域網內各個交換 機上所連接的所有PC客戶端信息�����,包括PC客戶端的IP地址和MAC地址�����。無需人工操作。 如上述本發(fā)明的方法���,因為采用MAC地址甄別方法�,自動生成一合法設備的標 準對照表���,無需人為干涉�����。所以不僅能夠大大減輕管理人員的工作量�,并可以保證該標準對照表的準確性�。 如上述本發(fā)明的方法,因為采用SNMP協(xié)議自動地將標準對照表中的PC客戶端 IP����、MAC和所連接的交換機端口信息寫入到PC客戶端所連接的交換機內�����,該交換機執(zhí)行PC 客戶端IP�、MAC和所連接的交換機端口的綁定操作,這就可以防止用戶(PC客戶端)隨意更 換IP�,防止用戶隨意接入筆記本電腦等設備���。這是防止非法接入設備的第一道防線。本發(fā) 明所有的交換機都通過SNMP協(xié)議自動地具有該功能�����。而且���,上述所有進行的步驟均在網管 服務器中自動進行�����。在上述現有技術中�,實現該功能都是通過網絡管理員手工輸入的�。不 僅工作量大,而且容易出錯�����。就是現有技術中的對照表數據的收集也是通過手工一一獲取 的��,非常復雜��。 如上述本發(fā)明的方法�,因為隨時或定時自動地采用與上述相同的MAC地址甄別 方法�����,獲取當前的PC客戶端信息���,并與標準對照表進行對比判斷是否有非法接入設備。這 是防止非法接入設備的第二道防線����。所以本發(fā)明的效率很高,可以很快地發(fā)現通過其它手 段所接入的非法設備��,并可以清楚地顯示在上述的物理拓撲圖上�。為對非法接入設備及時 進行處理提供了寶貴時間,能夠立即關閉非法接入設備所連的交換機端口����,使之與局域網 (內部網絡)隔離,避免造成進一步的危害��。 如上述本發(fā)明的方法����,具有兩道防線����,構成雙層保險�����,能夠有力地防止用戶(PC 客戶端)的非法接入��,從而有效地保護了內部網絡(局域網)的安全��。
圖1是本發(fā)明方法所采用物理拓撲圖上一局域網實施例的示意圖�����;圖2是圖1應用本發(fā)明的方法后顯示非法接入設備所連接交換機端口的示意圖����;圖3是本發(fā)明所采用的MAC地址甄別方法的流程圖���。
具體實施例方式如上述本發(fā)明方法的具體方法步驟是第一步�����,利用網管軟件的物理拓撲圖��,將所管轄的局域網內(或稱內部網絡)所包 括的網管服務器�����,核心交換機以及各個PC客戶端所連接的交換機全部置放在物理拓撲圖 上�,并在該物理拓撲圖上顯示出它們之間的相對位置及它們之間的相互連線。在本實施例 中����,所述物理拓撲圖是由上海北塔軟件股份有限公司提供的BTNM3. 6網管軟件(以下簡稱 網管軟件)中的物理拓撲圖。在該物理拓撲圖上顯示了該公司內部網絡(局域網)設備的 分布����。如圖1所示,包括作為核心交換機的總公司核心交換機2��,與總公司核心交換機2連 接的辦公樓核心交換機3 (包括辦公樓A核心交換機和辦公樓B核心交換機)�����,與總公司核 心交換機2連接的連接各個PC客戶端的各分公司1 (包括西南分公司��、華南分公司����、華北分 公司��、東北分公司)的交換機,與辦公樓核心交換機3連接的連接各個PC客戶端的各樓層 交換機4 (包括A樓2F交換機�����、A樓3F交換機���、A樓4F交換機���、A樓5F交換機等),網管服 務器5通過樓層交換機4和辦公樓核心交換機3與總公司核心交換機2連接���。第二步�����,通過SNMP(網絡管理協(xié)議)協(xié)議讀取上述物理拓撲圖上局域網內各個交 換機的MAC表信息�����,獲取各個交換機各個端口上所對應的MAC地址表信息����,如表1所示。第三步��,通過ARP (地址解析協(xié)議)協(xié)議和Netbios (網絡基本輸入/輸出系統(tǒng)協(xié)議)協(xié)議�,獲取上述局域網內各個交換機上所連接的所有PC客戶端信息,包括PC客戶端的 IP地址和MAC地址�����。第四步���,采用MAC地址甄別方法(上海北塔軟件股份有限公司提供)�����,獲得上述局 域網內所有連接的PC客戶端所連接的交換機和交換機的端口信息���,建立一個標準對照表, 標準對照表上包括的字段有PC客戶端IP地址��、PC客戶端MAC地址�、所連接的交換機IP地 址和所連接的交換機端口號。該標準對照表上的PC客戶端為上述局域網內的合法設備��。因 為PC客戶端在網絡上以IP地址和MAC地址為標識����,在絕大多數情況下����,一個MAC地址會出 現在局域網上很多個交換機的端口上�����。因此很難確定該MAC所代表的PC客戶端到底是連 接在哪個交換機的哪個端口上�����。只有采用MAC地址甄別方法����,可以過濾級聯交換機上傳送 過來的MAC地址��,準確定位每個PC客戶端所連接的交換機和所連交換機的端口號�。MAC地址甄別方法的描述,其甄別方法的流程如圖3所示����。第1步01,首先�����,讀取所有交換機的MAC表內容,合并生成列表M1���,其格式如表1 所示���;第2步02,根據網管軟件的物理拓撲圖��,讀取所有交換機之間的連接情況���,生成列 表Li���,如表2所示;第3步03�����,開始確定各個PC客戶端所連交換機和設備端口����。在上述Ml表中取出 第一個MAC地址信息MAC_11,該MAC_11地址對應交換機SWl��,對應端口 SPl ;第4步04��,在上述表Ll中���,查找是否存在交換機SW1���,端口 SPl對應的信息����;第5步05,在上述表Ll中����,存在交換機SWl的端口 SPl的信息,則說明這個端口上 連接的是另外一個交換機��,MAC_11所標識的設備并沒有直接連接到SWl的SPl端口上����。則 從Ml表中取出下一個MAC地址信息,返回第3步03 �;第6步06,在上述表Ll中�,不存在交換機SWl的端口 SPl的信息��,則說明這個端口 上連接的是普通PC�����,即MAC_11所標識的設備直接連接在SWl的SPl端口上����。將所獲得的該 設備的信息保存在對照表Dl中(格式如表3)���。從Ml表中取出下一個MAC地址信息���,重復 從第3步03開始。上述甄別方法的步驟����,經過一段時間的學習(多次反復地進行)以補充完善對照 表D1,以使對照表Dl更為精準�。最終確定生成一個標準的為合法設備的對照表,即為標準 對照表���。該標準對照表上的PC客戶端均為合法設備�����。如表3所示���。第五步����,將上述標準對照表中的PC客戶端與所連接的交換機端口號之間的對應 信息����,通過SNMP協(xié)議,自動寫入到所連接的交換機內����,該交換機設置PC客戶端IP地址����、PC 客戶端MAC地址和交換機端口號的綁定操作。當有不符合該綁定操作的為非法接入設備�����, 給予禁止��。這樣�,用戶(PC客戶端)隨意更改IP地址或者隨意接入新的筆記本電腦就會在 第一時間被交換機自動給予禁止了�。構成了防止非法接入設備的第一道防線���。第六步����,為了應對有突破上述第一道防線的情況����,需要定時(或隨時)采用上述相 同的MAC地址甄別方法,即定時(或隨時)重復上述第二��、三�����、四步�����,重新獲取局域網內當前 所有PC客戶端所連接的交換機端口信息表���,如表4所示��。將新得到的信息表4上的信息與 上述標準對照表(表3)進行比對���,查看是否有新的MAC地址出現���。表4與表3對比,發(fā)現 表4中有新的MAC地址(00-0C-30-F2-12-6A)出現�����,則說明有非法設備接入���。表4中的字 段PC客戶端IP為192. 168. 2. 12 �;PC客戶端MAC為00-0C-30-F2-12-6A �����;所連交換機IP為
6120. 0. 0. 4 ���;所連交換機端口號16 ;這是標準對照表(表3)上所沒有的����。說明該PC客戶端 為非法接入設備。第七步�,根據上述表4中非法接入設備所連接的交換機端口的信息��,將其在上述 物理拓撲圖上的局域網內標示出����。表4中所連交換機IP為120. 0. 0. 4的交換機是上述實 施例的物理拓撲圖(圖1)上的A樓4F交換機(見表2)��,所連交換機端口號16是A樓4F 交換機上的16號端口���。如圖2所示���,非法接入設備6連接在A樓4F交換機7的16號端口 8上。此時就可以采取臨時措施��,關閉A樓4F交換機的16號端口 8�����。使得非法接入設備6 與網絡隔離�����,避免安全隱患���。這是本發(fā)明的第二道防線��。所以����,本發(fā)明具有雙層保險。如上述�����,采用本發(fā)明根據所得到的標準對照表及采取相應的設置����,首先可以屏蔽 用戶(PC客戶端)修改IP地址、隨意接入筆記本電腦等簡單行為�����;其次可以及時發(fā)現網絡 上通過其它手段所出現的非法接入設備�。由于通過SNMP讀取交換機MAC地址表信息的速 度很快,交換機之間的連接表也比較簡潔����,因此獲取信息的速度可以達到很快����。當非法設備 一旦接入到內部網絡(局域網)時���,可以及時發(fā)現,及時進行處理�,可以更好的保護用戶網 絡安全運行。而且基本上所有的操作都是自動(在網管服務器內)執(zhí)行的�。不需要做復雜 的人工操作,能夠大大減輕人員的實施工作量和維護工作量��,極大地提高網絡維護人員的 工作效率��。表1���、交換機端口 MAC表
交換機IP端口號端口對應MAC地址120. 0. 0. 22200-12-F2-36-9F-B7120. 0. 0. 22200-12-F2-36-9F-B8120. 0. 0. 22200-12-F2-36-9F-B9120. 0. 0. 22200-12-F2-36-9F-BA120. 0. 0. 22300-17-95-B2-8A-A0120. 0. 0. 22300-17-95-B2-8A-A1120. 0. 0. 22300-17-95-B2-8A-A2120. 0. 0. 22500-17-95-E1-A7-E6120. 0. 0. 2400-17-95-C2-B6-D2120. 0. 0. 2500-17-95-BB-C5-BA120. 0. 0. 2600-12-A5-3B-D6-B3120. 0. 0. 2700-AD-95-AC-EA-A權利要求
1. 一種發(fā)現非法接入設備的方法���,其特征在于具體的方法步驟是 第一步,利用網管軟件的物理拓撲圖�����,將所管轄的局域網中所包括的網管服務器�����,核心 交換機以及各個PC客戶端所連接的交換機全部置放在物理拓撲圖上,并在該物理拓撲圖 上顯示出它們之間的相對位置及它們之間的相互連線�����;第二步�,通過SNMP協(xié)議讀取上述物理拓撲圖上各個交換機的MAC表信息,獲取各個交 換機各個端口上所對應的MAC地址表信息�����;第三步���,通過ARP協(xié)議和Netbios協(xié)議�,獲取上述局域網內各個交換機上所連接的所有 PC客戶端信息����,包括PC客戶端的IP地址和MAC地址;第四步����,采用MAC地址甄別方法,獲得上述局域網內所有的PC客戶端所連接的交換機 和交換機的端口信息��,建立一個包括PC客戶端IP地址��、PC客戶端MAC地址���、所連接的交換 機IP地址和所連接的交換機端口號的標準對照表���,該標準對照表上的PC客戶端為上述局 域網內的合法設備;第五步�����,將上述標準對照表中的PC客戶端與所連接的交換機端口號之間的對應信息�, 通過SNMP協(xié)議,自動寫入到所連接的交換機內���,該交換機設置PC客戶端IP����、PC客戶端MAC 和交換機端口號的綁定操作�����,不符合該綁定操作的為非法接入設備����,給予禁止�����;第六步��,隨時重復上述第二�、三����、四步,重新獲取局域網內當前所有PC客戶端所連接的 交換機端口信息�,將新得到的信息與上述標準對照表進行比對,若有不是標準對照表上的����, 而是新出現的PC客戶端地址,則該新出現的PC客戶端為非法接入設備��;第七步��,根據上述非法接入設備所連接的交換機端口的信息��,將其在上述物理拓撲圖 上的局域網內標示出�����,并執(zhí)行關閉相應的交換機端口操作,使非法接入設備與局域網隔離����, 保證局域網的安全�。
全文摘要
一種發(fā)現非法接入設備的方法,利用網管軟件的物理拓撲圖�����,將所管轄的局域網中所有設備均顯示在該物理拓撲圖上�����。通過SNMP協(xié)議��、ARP協(xié)議和Netbios協(xié)議��,獲取局域網內各個交換機上所連接的所有PC客戶端信息�����。采用MAC地址甄別方法����,建立一個包括局域網內合法設備的標準對照表��。根據標準對照表設置PC客戶端IP����、MAC和交換機端口號的綁定操作����,這是防止非法接入設備的第一道防線。隨時采用MAC地址甄別方法獲取當前的所有PC客戶端所連接交換機端口信息����,與標準對照表比對,不是標準對照表上的�����,是新出現的PC客戶端為非法接入設備��。給予阻斷��。這是防止非法接入設備第二道防線����。所以本發(fā)明具有雙層保險。
文檔編號H04L29/06GK102118271SQ20111007661
公開日2011年7月6日 申請日期2011年3月29日 優(yōu)先權日2011年3月29日
發(fā)明者王俊 申請人:上海北塔軟件股份有限公司