|
|
发表于 2005-3-10 10:07:19
|
显示全部楼层
这里是华为的资料,希望有所参考。
校园网中“基于特征”的防Proxy技术
校园网络是当前宽带网络应用的一个非常热门的网络。广大师生员工对带宽的需求和对服务质量的要求是非常强烈的。如何在校园网络中组建可认证,可授权,可运营,可管理,可增值的宽待网络是校园网络管理人员一个非常重视的问题。华为-3com公司根据校园网络的实际情况,推出了一系列关键技术,比如802.1x认证技术,WEB PORTAL认证技术,给宽带网络在校园网络实现可运营,能管理带来了非常实在的措施,应而深受广大师生员工的欢迎。然而,这些认证技术的出现,又被隐藏在校园网络的众多网络“黑客”所掌握,他们继而在校园网络中采用一种PROXY的技术,使认证和计费技术无法真正实现和针对每个具体的人员,同时对于具体的网络行为的控制无法进行。所以,校园网络中需要采用防PROXY的方式,来使得可管理,可认证的宽带网络真正得以贯彻下去。
PROXY在校园网络中有其应用的来源。主要是在宿舍区域网络中。许多大学生在宿舍中架起电脑,在网络中冲浪,完游戏等。但由于学校大多采用基于802.1x的用户认证方式,通过预付费的方式实现对学生端到端的管理和计费以及日志追踪等方式实现控制。但有些学生从网络中搞到一些PROXY的软件,这样,他们宿舍中所有的机器只是通过一台PROXY机器被802.1x协议所管理,甚至有的通过联合,一个楼层甚至一个楼群的所有计算机只通过一台或几台PROXY机器被802.1x所管理;使基于用户的收费无法进行,使基于用户的流量管理无法进行;使日志追踪无法定位……对校园网络推行802.1x认证网络造成极大的障碍;有的甚至侵犯了许多已付费的学生的利益,滥用帐号,偷盗帐号的情况时有发生,给广大师生员工正常使用网络带来了麻烦。
针对这种情况,华为-3com公司提出了一整套防PROXY的技术方案,有效地阻止了这种情况地蔓延。下面我们将具体进行介绍。
首先针对PROXY的技术实质我们进行了分析,提出了“基于特征的防PROXY技术”。
这些特征检测方式包括:流量特征;应用特征;内容特征;进程特征;行为特征。然后在有效进行统计的方式进行数学建模,从而真正检测PROXY是否存在;然后通过分布式的软件和硬件系统统一进行相关的动作,达到非常准确定位,有效实时遏制的解决思路。这是我们实现校园网络防止PROXY的系统组成图。
系统组成如下:
1. huawei-3com的802.1x客户端;
2. 802.1x认证接入交换机;
3. Radius服务器
在整个防范的系统中,我们扩展了802.1x认证协议;将防范PROXY的行为和通报扩展到协议中。所以,为了有效地遏制对PROXY在校园中的泛滥,必须使用华为-3com的802.1x客户端和802.1x的认证服务器。
系统的行为模式如下:
1. 在用户上网的过程中,必须打开802.1x客户端程序;此时802.1x客户端将发起802。1x认证;在802.1x请求报文中,携带华为-3com客户端产品的SERIAL-id和是否需要进行PROXY检测的请求,同时,华为-3com的客户端还将通过自己的专利技术获得当前用户使用的网络接口及其类型(是以太网端口还是DSL,modem等)在报文中一并高速服务器。
2. 该802.1x认证请求报文经过认证交换机,将802.1xEAPOL报文转换为RADIUS报文上送认证服务器;
3. 认证服务器对radius报文进行解析,进行用户认证,并判断用户是否使用了huawei-3com的客户端和该用户是否要进行PROXY检验;
4. 如果需要进行PROXY检验,并安装了华为-3com的客户端,那么服务器在用户认证通过后,通过RESPONSE报文告诉客户端,并在服务器的数据库中基于用户记录下有关用户的网络接口等特征。
5. 客户端在收到打开PROXY检测后,将进行如下基于特征的检测:
流量特征:
在客户端,将定期采集用户的流量,并计算出单位时间流量的分布;这些流量分布将不定期地通过EAP报文,在经过华为-3com的交换机转成RADIUS报文后送交服务器;
服务器会根据采集的流量,对于用户是否安装了PROXY进行判断。很显然,多于一个用户的PROXY在流量上具有一定的特征:比如单位时间内流量始终居高不下;tcp的连接数始终在10个以上;网络端口为两个FE;……这些特征将统一在服务器的策略数据库中进行记载,并通过一定的加权系数进行累积,我们将具有这种初级特征的用户设为黄色用户,需要具有一定积累记录的情况下,才能作出判断;
应用特征:
在客户端,还将定期采集用户中网络的相关应用;并将这些网络应用通知服务器。这些相关应用包括:TCP的连接应用,ftp的应用,TELNET的应用;RPC的应用,MSN等应用,HTTP等协议….这些应用尽管杂乱无章,但也说明PROXY的蛛丝马迹。比如,MSN的视频会话多于4个,那么该用户很可能是在使用PROXY。很难想象,只有一个用户,可能会同四个人在四个线程中进行交流。所以客户端将这些应用采集后,作为一个快照(SNAPSHOT)送给服务器后,服务器将基于应用特征策略库进行学习判断,作出结论。
内容特征
在客户端,还将对于用户网卡的报文进行随机地抽取分析。我们在应用中发现,一些代理程序的报文,尤其是HTTP报文还是具有一些特征,比如某种代理报文在http报文头的固定字节前面,增加了一个特殊的code,该code标明这是PROXY代理程序;所以一旦客户端随机检测出有这样的网络报文出现的时候,将通知服务器;服务器将马上记录到用户的状态表中,同时基于策略进行动作
进程特征
很显然,如果客户端能够定时地对用户的应用进程进行监控,并将可疑的代理PROXY进程及时发现,对于PROXY的制止是非常奏效的。当然,聪明的黑客可能会更改进程名字;但PROXY中使用的特殊的DLL库可能了解的人就非常少。所以华为-3com服务器提供校园网络管理员一个非常好的接口,用户可以在服务器的进程特征行为中,配置若干需要进查的进程的名字,比如对于常见的PROXY的进程名和网上出现的PROXY免费程序名,管理员都可以配置到服务器的策略库中,对于服务器可以根据PROXY的不断发展而有效进行跟踪控制。利用进程特征,可以非常高效地对付才鸟级黑客。
行为特征
在和PROXY进行长期的斗争过程中,华为-3com积累了防止PROXY的行为的许多特征,这些特征真切地通过客户端的针对性的采集和服务器的行为学习数据库及其策略库的配合,可以百发百中地发现使用PROXY用户。这些行为包括基于用户应用的行为,比如用户同时使用SMTP发送三封以上邮件,用户同时开启多个会话窗口聊天,发现在这个用户的采集中ARP报文特别活跃……
执行策略
执行策略完全依据客户端采集的各种特征进行策略的制定。我们对各种策略的判断采用加权统计和周期判断的模式,对于相对模糊的特征,不采用一刀切。而是基于上述所有特征,计算出其特征命中率和加权值,从而作出民主科学的判断。
动作行为
服务器采取的行为,基于用户配置;用户可以针对不同的策略加权值范围,给出不同的动作方式;比如在0-100范围的策略权值,采用通知802.1x客户端告警的方式或邮件警告的方式;对于100-200的方式,采用限制某些应用的方式;对于200以上的,采用直接在客户端断掉其连接的果断行为……
所以,华为-3com公司针对近两年来出现的PROXY,进行了大量实践和开发工作,不是采用单一的简单方式来应付校园网络用户的急切需求,而是基于大量开发、实践的基础上提出了“基于特征识别”的方式,采用“特征采集,模式适配,策略判断,民主决策”的防PROXY方法。在这套理论和实践结合的方法指引下进行开发,取得了良好的成效,深受广大校园网络的用户的欢迎,对于更好地贯彻执行可运营,可管理,可赢利地校园网络具有非常大的现实意义。 |
|
IP卡
狗仔卡
显身卡