沈宏杰

【摘要】? ? 使用網(wǎng)絡準入控制技術對接入終端進行身份呢認證、安全檢查、授權訪問，只允許合法的、值得信任的終端接入網(wǎng)絡。結合國家電網(wǎng)網(wǎng)絡現(xiàn)狀進行研究，提出一種針對物聯(lián)網(wǎng)終端視頻設備的準入控制的方案，從而提高網(wǎng)絡的可用性和安全行。

【關鍵詞】? ? 網(wǎng)絡準入? ? 視頻設備? ? 身份認證? ? 阻斷? ? 物聯(lián)網(wǎng)終端

Abstract：The network access control technology is used to perform identity authentication， security check， and authorized access to the access terminal， and only legal and trustworthy terminals are allowed to access the network. Based on the research of the status quo of the national grid network， this paper proposes a scheme for access control of IoT terminal video equipment， which can improve the availability and security of the network.

Key words：Network access， video equipment， authentication， blocking， IoT terminal

引言

隨著國家電網(wǎng)公司堅強智能電網(wǎng)建設的不斷推進，電力業(yè)務系統(tǒng)的建設、管理水平要求也越來越高，輸變電狀態(tài)在線監(jiān)測系統(tǒng)的建設已逐漸成為公司加強業(yè)務系統(tǒng)安全、質量、進度管控的有效手段。公司輸變電狀態(tài)在線監(jiān)測系統(tǒng)通過遠程視頻實現(xiàn)輸電線路、桿塔的現(xiàn)場運行情況監(jiān)控，便捷、實時的了解、監(jiān)督現(xiàn)場情況，及時與現(xiàn)場人員溝通交流，提高業(yè)務管理水平，豐富管理手段，為業(yè)務可視化運維、管理提供技術支撐。

新視頻終端、老舊視頻終端接入公司信息內網(wǎng)需求迫切，安全接入已成為公司現(xiàn)有安全防護體系的短板，因此，有必要開展公司輸變電狀態(tài)在線監(jiān)測系統(tǒng)視頻終端接入安全防護方案設計，應對公司新形勢下的安全挑戰(zhàn)，有效降低與規(guī)避風險，遏制視頻應用帶來的負面影響。

一、傳統(tǒng)網(wǎng)絡準入控制技術方案

常用的網(wǎng)絡準入控制技術有以下五種[1]：802.1x準入控制、DHCP準入控制、網(wǎng)關準入控制、MVG準入控制、ARP準入控制，對于這五種技術的描述以及優(yōu)缺點，具體見表1。

二、針對視頻設備準入方案

基于以上網(wǎng)絡準入技術，針對視頻設備的網(wǎng)絡準入控制，可以采取設備指紋識別、主動和被動探測、聯(lián)合準入的步驟。

2.1設備指紋識別

2.1.1域名和流量信息識別設備指紋

將某攝像頭連接到局域網(wǎng)中，同時打開該攝像頭對應的APP進行操作，通過虛擬網(wǎng)卡對攝像頭流量進行抓包，分析數(shù)據(jù)包中特征。發(fā)現(xiàn)與攝像頭通信的服務器有三個：esd.h.reservehemu.com、h.andmu.cn、視頻上傳服務器，其中視頻上傳服務器為動態(tài)獲取IP具體見表2。

由于這些IP是兩個服務器傳給攝像頭的，僅僅從流量中很難找到完整的IP列表。這里嘗試用Nmap[2]按照24網(wǎng)段掃描了上表IP對應的5個網(wǎng)段（1280個主機），一共發(fā)現(xiàn)116臺主機開啟了50920端口。掃描結果見圖1。

結論：直接通過視頻上傳服務器無法作為指紋，IP的數(shù)量太多了，并且可能會變化。根據(jù)esd.h.reservehemu.com和h.andmu.cn兩個域名可以識別出云端是中移物聯(lián)，云端和攝像頭之間通信加密：TLSv1.2，特征端口：50920。攝像頭通過TCP上傳圖像到服務器的50920端口。攝像頭上傳圖像過程中的流量較大，一般從帶寬占用情況看，如果某一個設備突然占用上行帶寬1M～4M，說明該設備很可能是攝像頭。結合域名和通信端口，可確定設備指紋。

2.1.2組播信息識別指紋

組播傳輸，是有區(qū)別于單播（一對一傳播）和廣播（子網(wǎng)內所有設備都收到數(shù)據(jù)）傳輸?shù)?，它借助組播路由協(xié)議[3]，對于多個用戶需求信息時，源頭只用發(fā)送一次數(shù)據(jù)，在信息盡可能遠的分岔口才會復制和分發(fā)。

選取某一款攝像頭進行分析，其中用到了組播協(xié)議。經(jīng)分析發(fā)現(xiàn)組播地址為：224.0.0.251，組播內容：_inter._tcp.local。最終對MDNS信息展開，得到設備指紋：HIKVISION&CS-C2C-1A1WFR&142275593&ALARMREPORT._smart._tcp.local。數(shù)據(jù)的周期性和關鍵字見表3和表4。

2.2主動和被動探測

有了設備指紋信息后，針對網(wǎng)絡內的設備，有兩種發(fā)現(xiàn)方式。

主動模式部署探測引擎。配置需要探測的IP段之后，探測引擎首先會對IP段中的IP和端口進行掃描，確定IP被設備使用后，主動發(fā)送特殊構造的數(shù)據(jù)包，來返回操作系統(tǒng)、MAC地址、設備類型、設備型號等具體設備信息。

被動模式部署分析引擎，需要將鏈路中的流量通過鏡像/分光模式接到分析引擎上。對流量進行監(jiān)測分析，獲取不同的設備類型，包括TTL值、TCP SYN包大小、TCP擴展選項等信息。

2.3聯(lián)合準入方案

探測引擎可以配置二層和三層模式。

二層模式下，探測引擎部署在二層網(wǎng)絡中，直接和前置交換機連接。此時探測引擎，對于在二層網(wǎng)絡中的設備，可以快速進行掃描，發(fā)現(xiàn)設備。根據(jù)配置的準入策略，采用ARP欺騙方式實現(xiàn)準入控制[4]。具體為通過向非法設備發(fā)送虛擬ARP包，使其得到錯誤的網(wǎng)關及被保護設備的MAC地址，達到非法設備不能正常網(wǎng)絡連接。在二層網(wǎng)絡中，發(fā)送ARP欺騙包的方式效率較高。

三層模式下，探測引擎部署在三層網(wǎng)絡中，與核心交換機連接，要求和二層交換機網(wǎng)絡可達。這里采用SNMP簡單網(wǎng)絡管理協(xié)議和802.1x相結合的方法[5]，直接通過探測引擎向與設備最接近的交換機，發(fā)送交換機阻斷指令，對終端設備進行準入管理。

對于二層或三層探測模式，從準入效果上都可以達到要求，部署模式由具體網(wǎng)絡環(huán)境而定。

三、結論

本文通過對傳統(tǒng)網(wǎng)絡準入方案的分析，結合視頻終端的特性，重點介紹了兩種設備指紋的提取方法，并采用主動和被動的方式探測設備后，用聯(lián)合準入的方式，對視頻設備準入[6]的方案進行了介紹。

視頻設備可以歸結為物聯(lián)網(wǎng)終端的一種，本文提到的方法，同樣適用于物聯(lián)網(wǎng)網(wǎng)絡中設備的準入和認證。

參? 考? 文? 獻

[1]劉敏.全面系統(tǒng)化的終端準入控制[J].網(wǎng)管員世界，2011（5）：15-17.

[2]商廣明著.Nmap滲透測試指南[M].北京：人民郵電出版社，2015-10-01

[3]張三順， 夏輝， 張公敬. 基于波動識別的可信組播路由協(xié)議[J]. 信息網(wǎng)絡安全， 2018， 216（12）：77-86.

[4]鄧衛(wèi)成.淺談ARP技術在終端網(wǎng)絡接入控制中的實際應用[J].通訊世界，2014（20）：19-20.

[5]才國慶，周德新.SNMP技術在802.1x端口認證系統(tǒng)中的應用[J].桂林電子工業(yè)學院學報，2003（06）：83-87.

[6]洪小龍，陳崇平.視頻網(wǎng)終端安全準入系統(tǒng)的設計與實現(xiàn)[J].廣東公安科技，2018，26（04）：5-7.