曲廣平，郭迎娣

(煙臺(tái)職業(yè)學(xué)院信息工程系，煙臺(tái)264000)

利用IPSec安全策略阻斷內(nèi)網(wǎng)違規(guī)外聯(lián)

曲廣平，郭迎娣

(煙臺(tái)職業(yè)學(xué)院信息工程系，煙臺(tái)264000)

某些企業(yè)出于安全目的建設(shè)了信息內(nèi)、外網(wǎng)兩套物理隔離網(wǎng)絡(luò)系統(tǒng)，如何通過(guò)技術(shù)手段阻止內(nèi)網(wǎng)終端違規(guī)外聯(lián)是一個(gè)比較棘手的問(wèn)題。本文提供了一種通過(guò)配置IPSec安全策略，在根源上阻斷違規(guī)流量的方法，無(wú)需借助于任何第三方軟件或硬件，即可有效阻止內(nèi)網(wǎng)終端非法外聯(lián)。同時(shí)結(jié)合批處理方式，可以簡(jiǎn)化策略部署流程。

ipsec;安全策略;批處理;違規(guī)外聯(lián)

在某些企業(yè)中出于安全目的建設(shè)了信息內(nèi)、外網(wǎng)兩套物理隔離網(wǎng)絡(luò)系統(tǒng)，與生產(chǎn)相關(guān)的重要應(yīng)用均在信息內(nèi)網(wǎng)中運(yùn)行。由于用戶終端數(shù)量眾多，員工使用習(xí)慣各異，不可避免的存在內(nèi)網(wǎng)終端違規(guī)外聯(lián)的情況，導(dǎo)致企業(yè)重要機(jī)密外泄風(fēng)險(xiǎn)可能性大大提高。

違規(guī)外聯(lián)的表現(xiàn)形式主要有以下三種:

①內(nèi)網(wǎng)終端通過(guò)修改網(wǎng)卡IP地址、更換信息點(diǎn)接口接入外網(wǎng)。

②內(nèi)網(wǎng)終端為配置無(wú)線網(wǎng)卡(WiFi)的筆記本電腦，該無(wú)線網(wǎng)卡連接了外網(wǎng)的無(wú)線路由器。

③內(nèi)網(wǎng)終端上安裝了USB 3G上網(wǎng)卡直接接入互聯(lián)網(wǎng)。

為防止上述違規(guī)行為的發(fā)生，比較常規(guī)的方式是部署桌面行為管理軟件、IP與MAC地址綁定、部署防火墻并添加安全策略等，這些常規(guī)方法能在一定程度上起到作用，但是不能在根源上阻斷非法外聯(lián)事件發(fā)生，特別是對(duì)于無(wú)線方式接入，常規(guī)防范方法效果甚微。

本文提供了一種通過(guò)配置IPSec安全策略，在根源(終端側(cè))阻斷違規(guī)流量的方法，其主要實(shí)現(xiàn)思想是根據(jù)企業(yè)信息內(nèi)網(wǎng)IP地址分配特點(diǎn)，在終端機(jī)器上通過(guò)配置IPSec安全策略，允許目的地址為內(nèi)網(wǎng)IP的流量通過(guò)，同時(shí)禁止其它流量，從而有效的解決上述三種主要違規(guī)外聯(lián)方式的發(fā)生。

1 IPSec安全策略介紹

1.1 IPSec安全體系結(jié)構(gòu)

IPSec(Internet Protocol Security，Internet協(xié)議安全)，是網(wǎng)絡(luò)安全業(yè)內(nèi)的一種開(kāi)放標(biāo)準(zhǔn)，通過(guò)使用加密安全服務(wù)以確保網(wǎng)絡(luò)通信的保密性和安全性。IPSec是一種跨平臺(tái)的安全標(biāo)準(zhǔn)，目前主流的操作系統(tǒng)基本都支持IPSec，都可以通過(guò)IPSec來(lái)提升安全性［1］。

IPSec是集多種安全技術(shù)為一體的安全體系結(jié)構(gòu)，是一組IP安全協(xié)議集。IPSec工作在網(wǎng)絡(luò)層，對(duì)用戶和應(yīng)用程序是透明的，它可以提供對(duì)服務(wù)器的受限制的訪問(wèn)，可以自定義安全配置。IPSec提供的功能主要有以下三種:

①數(shù)據(jù)加密。IPSec提供了數(shù)據(jù)加密服務(wù)，保證了數(shù)據(jù)在傳輸過(guò)程中不被非法用戶竊聽(tīng)，它由IPSec中的ESP(Encapsulating Security Payload，封裝安全載荷)模塊提供，算法采用CBC(Cipher Block Chaining，加密塊鏈接)方式，這樣確保了即使信息在傳輸過(guò)程中被竊聽(tīng)，非法用戶也無(wú)法得知信息的真實(shí)內(nèi)容。

②數(shù)據(jù)源地址驗(yàn)證和數(shù)據(jù)完整性檢查。IPSec使用 HMAC(Hash－Base Message Authentication Code，基于哈希算法的消息認(rèn)證碼)進(jìn)行數(shù)據(jù)驗(yàn)證。HMAC是使用單向散列函數(shù)對(duì)包中源IP地址、數(shù)據(jù)內(nèi)容等在傳輸過(guò)程中不變的字段計(jì)算出來(lái)的，具有唯一性。數(shù)據(jù)如果在傳輸過(guò)程中發(fā)生改動(dòng)，在接收端就無(wú)法通過(guò)驗(yàn)證。

③防止重發(fā)攻擊。IPSec使用AH(Authentication Header，認(rèn)證頭)為每個(gè)SA(Seccurity Association，安全關(guān)聯(lián))建立系列號(hào)，而接收端采用滑動(dòng)窗口技術(shù)，丟棄所有重復(fù)的包，因此可以防止重發(fā)攻擊。

IPSec安全體系結(jié)構(gòu)如圖1所示。

圖1 IPSec安全體系結(jié)構(gòu)

IPSec是安全聯(lián)網(wǎng)的長(zhǎng)期方向，它通過(guò)端對(duì)端的安全性來(lái)提供主動(dòng)的保護(hù)，以防止來(lái)自專用網(wǎng)絡(luò)與Internet的攻擊。在通信中，只有發(fā)送方和接收方才是惟一必須了解IPSec保護(hù)的計(jì)算機(jī)。IPSec提供了一種能力，以保護(hù)工作組、局域網(wǎng)計(jì)算機(jī)、域客戶端和服務(wù)器、分支機(jī)構(gòu)(物理上為遠(yuǎn)程機(jī)構(gòu))、Extranet以及漫游客戶端之間的通信。

1.2 IPSec安全策略

在Windows系統(tǒng)中，IPSec被設(shè)計(jì)成了組策略中的一個(gè)組件，稱為IPSec安全策略。在本文的案例中，主要是在內(nèi)網(wǎng)終端使用率比較高的Windows 7系統(tǒng)中配置IPSec安全策略，所有操作同樣也適用于Windows XP/Windows 8系統(tǒng)。

在“開(kāi)始運(yùn)行”中輸入并執(zhí)行“gpedit.msc”，打開(kāi)組策略編輯器，在“計(jì)算機(jī)配置windows設(shè)置安全設(shè)置IP安全策略”中可以對(duì)IPSec進(jìn)行配置。

IPSec安全策略的功能主要通過(guò)IPSec規(guī)則實(shí)現(xiàn)，通過(guò)IPSec規(guī)則來(lái)確定允許或禁止哪些網(wǎng)絡(luò)通信，或是對(duì)哪些網(wǎng)絡(luò)通信進(jìn)行加密。每條IPSec規(guī)則又包括“IP篩選器”和“篩選器操作”兩部分。篩選器的作用是用來(lái)定義數(shù)據(jù)類型，篩選出符合要求的數(shù)據(jù);篩選器操作則用來(lái)指定對(duì)這些篩選出來(lái)的數(shù)據(jù)進(jìn)行什么操作。

因而，定義IPSec規(guī)則主要分兩步進(jìn)行:

①定義IP篩選器，然后定義對(duì)篩選器的操作。

2 配置實(shí)施IPSec安全策略

下面根據(jù)本文的案例要求，在內(nèi)網(wǎng)終端上配置并實(shí)施IPSec安全策略。

2.1 配置IPSec安全策略

①在組策略編輯器中新建一個(gè)名為“test”的IP安全策略。

②在test安全策略中建立一個(gè)安全規(guī)則。注意需要將安全規(guī)則的網(wǎng)絡(luò)類型設(shè)置為“所有網(wǎng)絡(luò)連接”，以保證當(dāng)系統(tǒng)中新增加網(wǎng)絡(luò)連接設(shè)備時(shí)策略即刻生效。

③在安全規(guī)則中創(chuàng)建名為“Permit”的篩選器，放行發(fā)往信息內(nèi)網(wǎng)的數(shù)據(jù)流量。

篩選器中的主要設(shè)置如下:

①“源地址”選項(xiàng)設(shè)為“我的IP地址”，以保證對(duì)所有本地IP地址生效。

②“目標(biāo)地址”選項(xiàng)設(shè)為“一個(gè)特定的IP地址或子網(wǎng)”，設(shè)置為信息內(nèi)網(wǎng)的網(wǎng)絡(luò)地址，如10.0.0.0/8。

③“協(xié)議類型”選項(xiàng)設(shè)為“任何”，放行所有數(shù)據(jù)。

④在安全規(guī)則中創(chuàng)建名為“Deny”的篩選器，阻止發(fā)往外網(wǎng)的數(shù)據(jù)流量。篩選器中的“源地址”和“目標(biāo)地址”均設(shè)置為“任何IP地址”，“協(xié)議類型”設(shè)置為“任何”，以徹底阻斷與外網(wǎng)的所有通信。

⑤為“Permit”篩選器添加“篩選器操作”，在“篩選器操作常規(guī)選項(xiàng)”中選擇“許可”，并將篩選器操作命名為“yes”。

⑥為“Deny”篩選器添加“篩選器操作”，在“篩選器操作常規(guī)選項(xiàng)”中選擇“阻止”，并將篩選器操作命名為“no”。

配置好的“test”安全策略如圖2所示。其中篩選器“Permit”匹配目的地址為“10.0.0.0/8”的數(shù)據(jù)流量，操作“yes”放行所有數(shù)據(jù)，用戶可訪問(wèn)內(nèi)網(wǎng)應(yīng)用;篩選器“Deny”匹配所有數(shù)據(jù)流量，操作“no”阻止所有數(shù)據(jù)，用戶不能訪問(wèn)任何網(wǎng)絡(luò)。

可以看到這兩條安全規(guī)則之間存在沖突，系統(tǒng)對(duì)此處理的原則是:篩選器操作為“允許”的安全規(guī)則優(yōu)先于篩選器操作為“拒絕”的安全規(guī)則。因而當(dāng)用戶有發(fā)往內(nèi)網(wǎng)的數(shù)據(jù)時(shí)，會(huì)優(yōu)先匹配“Permit”規(guī)則，允許通過(guò)。

圖2 配置好的test安全策略

建好的IP安全策略必須要經(jīng)過(guò)指派之后才能生效。在“test”策略上單擊右鍵，選擇“分配”，便應(yīng)用了這條策略。

2.2 功能測(cè)試

配置完成后，通過(guò)ping命令對(duì)內(nèi)網(wǎng)應(yīng)用地址及互聯(lián)網(wǎng)地址連通性進(jìn)行測(cè)試。

在測(cè)試過(guò)程中，ping公網(wǎng)地址(域名)時(shí)收到錯(cuò)誤信息，而ping“10.0.0.0/8”中的內(nèi)網(wǎng)地址時(shí)可以正常ping通，測(cè)試結(jié)果如圖3所示。

圖3 ping命令測(cè)試

分別使用有線網(wǎng)卡接入、無(wú)線網(wǎng)卡連接無(wú)線路由器(外網(wǎng))，并在測(cè)試主機(jī)上安裝USB 3G上網(wǎng)卡接入3G網(wǎng)絡(luò)，重復(fù)上述測(cè)試步驟，都可以得到相同的測(cè)試結(jié)果。

為進(jìn)一步證實(shí)功能實(shí)現(xiàn)，在組策略編輯器中將“test”安全策略配置為“未分配”狀態(tài)，在該狀態(tài)下無(wú)論使用哪種接入方式，均能夠正常ping通內(nèi)網(wǎng)及互聯(lián)網(wǎng)IP地址(域名)。

2.3 導(dǎo)入/導(dǎo)出IPSec安全策略

為了便于在大量主機(jī)上部署IPSec安全策略，可通過(guò)在網(wǎng)管主機(jī)上生成并導(dǎo)出安全策略，在其它主機(jī)上導(dǎo)入的方法實(shí)現(xiàn)。

安全策略的導(dǎo)出可通過(guò)組策略編輯器完成，在“IP安全策略”上點(diǎn)擊右鍵，執(zhí)行“所有任務(wù)導(dǎo)出策略”，導(dǎo)出一個(gè)名為“test.ipsec”的策略文件。

然后將策略文件復(fù)制到目標(biāo)主機(jī)，并執(zhí)行導(dǎo)入操作。在組策略編輯器的“IP安全策略”選項(xiàng)中點(diǎn)擊右鍵導(dǎo)入，選擇策略文件“test.ipsec”，順利導(dǎo)入并分配該策略。

使用之前的測(cè)試方法分別針對(duì)有線網(wǎng)卡、無(wú)線網(wǎng)卡及3G上網(wǎng)卡接入方式，在策略為“分配”狀態(tài)下進(jìn)行測(cè)試，均無(wú)法ping通互聯(lián)網(wǎng)地址(域名)，同時(shí)可ping通內(nèi)網(wǎng)中的地址。

2.4 將IPSec安全策略做成批處理

為了進(jìn)一步提高策略部署的簡(jiǎn)易性，可以將策略制作成批處理程序，然后放置在內(nèi)網(wǎng)文件服務(wù)器上，由用戶下載后自行運(yùn)行即可。

指派策略批處理文件內(nèi)容如下:

@echo off

sc config policyagent start=auto

//將Policyagent服務(wù)設(shè)置為自動(dòng)啟動(dòng)

sc start policyagent

//啟動(dòng)Policyanget服務(wù)

netsh ipsec static importpolicy file=% ～dp0 test.ipsec

//默認(rèn)情況下Windows 7系統(tǒng)使用管理員身份運(yùn)行程序時(shí)，系統(tǒng)會(huì)將當(dāng)前目錄切換到“system root”目錄，使用“%～dp0”變量可以從解壓目錄中導(dǎo)入IPSec文件，而不會(huì)產(chǎn)生路徑錯(cuò)誤無(wú)法導(dǎo)入的問(wèn)題。

netsh ipsec static set policy name=test assign=y

//指派IPSec策略，并使之生效。

pause

將文件保存成擴(kuò)展名為“.bat”的批處理文件，復(fù)制到目標(biāo)機(jī)上之后以管理員身份運(yùn)行，可以自動(dòng)生成并分配IPSec安全策略。

3 結(jié)束語(yǔ)

利用操作系統(tǒng)自身的IP安全機(jī)制，結(jié)合內(nèi)網(wǎng)IP地址編制特點(diǎn)，在不借助于任何第三方軟件、硬件的前提下，可有效阻止內(nèi)網(wǎng)終端非法外聯(lián)情況的發(fā)生。使用該方案在阻止內(nèi)網(wǎng)終端非法外聯(lián)的同時(shí)，不影響終端正常訪問(wèn)信息內(nèi)網(wǎng)各應(yīng)用。經(jīng)測(cè)試該方案可部署于信息內(nèi)網(wǎng)終端普通使用的Windows XP、Windows 7操作系統(tǒng)平臺(tái)下。

安全策略無(wú)需用戶自行編輯，只需網(wǎng)管人員生成策略后統(tǒng)一部署或集中打包放置在公共服務(wù)器上，由用戶根據(jù)操作系統(tǒng)自行下載后自動(dòng)導(dǎo)入。另外，使用該方法還可以滿足在不具備可網(wǎng)管設(shè)備(三層交換機(jī)、防火墻、路由器)的條件下，實(shí)現(xiàn)終端系統(tǒng)間的訪問(wèn)控制，并結(jié)合批處理方式，簡(jiǎn)化了策略部署流程。

［1］李磊.網(wǎng)絡(luò)工程師考試輔導(dǎo)(2009版)［M］.北京:清華大學(xué)出版社，2010.

(責(zé)任編輯 侯中巖)

TP393.08

B

1673－5382(2014)03－0084－04

2014－06－19

曲廣平(1977－)，男，山東牟平人，煙臺(tái)職業(yè)學(xué)院信息工程系講師，碩士.