http://www.zhenghe.biz/index.php zh-cn http://www.zhenghe.biz/read.php/.htm 网络毛毛虫 <admin@yourname.com> Sun, 13 Nov 2005 14:04:43 +0000 http://www.zhenghe.biz/read.php/.htm
　　本文针对园区网尤其是校园网存在的RPOXY代理问题，进行了详细的技术说明，并针对不同的应用情况提出了多种解决方案。

　　其实，PROXY问题存在于两个方面: 一是利用PROXY发表反动言论，二是利用PROXY逃避计费。利用PROXY发表反动言论是一个应用层的问题，可以采用对于FTTP、FTP、URL等内容过滤的方式实现对非法言论的控制和追踪，对于目前的应用，该问题可以得到有效解决。而利用PROXY逃避计费的方式是一个相当复杂的技术问题，需要从用户认证、访问控制、过滤、安全扫描、计费、防黑客、日志追踪分析等多个方面全面考虑。业界也有厂家如华为等有系列相关产品提供防PROXY代理的解决方案。

　　此外，安全问题不仅仅是一个技术问题，更多的是一个管理和制度约束问题，这涉及到计算机和网络信息安全，甚至是黑客攻击、机密泄漏、非法信息发布等问题，这在世界各国包括国内已经有若干法规制度进行约束。

　　对于采用PROXY进行的网络活动，一些制度也明文规定：通过PROXY进行的一切网络活动，都应该由PROXY的拥有者担负责任，甚至是连带责任——这也是Internet上比较通行的一个原则：即通过跳板发起的攻击，是由跳板的拥有者，而不是攻击者负责任。以前国内相当多的免费SMTP服务器被国外服务器所攻占利用作为再次攻击的跳板，就是按照这一原则行事的；现在WEB上也有很多私人代理服务器只对信任用户开放，也是基于对安全责任的考虑。

　　二、采用PROXY应用技术原理

　　采用PROXY应用的技术主要有以下三种方式，包括采用实体物理双网卡的形式和虚拟双网卡的方式，当然采用拨号上网+物理网卡PROXY的形式也属于虚拟双网卡。

　　●双网卡方式的PROXY，即：

　　|Web Server|------|Router|----Card A----|PROXY server|----Card B------|client|

　　|-------外网---------- -- -- -- ----|------------内网--------- --|

　　内网完全可以做到对外网的隐藏的，外网的所有设备只能看得到PROXY server是一个标准的、只有一块Card A的PC机。因为PROXY完全是一个应用层的中继，在外网的表现和普通web server客户端没有任何区别。

　　●双网卡方式的NAT，即：

　　|Web Server|------|Router|----Card A----|NAT|----Card B------|client|

　　|-------外网--------------------------|-------- -内网-----|

　　外网可以通过对流的监控检测出NAT行为来，因为通过NAT转换的报文中，往往还会带有内网的IP地址，通过对内网地址的统计性分析，可以找到NAT服务器。

　　 对一般用户来说，建NAT比建PROXY技术要求要高，所以学生群体等不一定会用这种方式进行内外网互连。

　　●如果采用的是单网卡方式的Porxy，即

　　|Web Server|------|Router|----Card A----|PROXY server|

　　|client| 

　　这种情况下，PROXY server开放的代理端口就必须会暴露到外网上，可以通过扫描工具很容易的从外网进行PROXY的扫描从而发现；我们可以把这种扫描工具集成到网管系统上，每天定时启动、工作、报表即可。但是如果存在有意提供网络共享的用户，一般不会采取这种对他自己非常不利的方法；而且，用户可以通过终端PC防火墙的方式对抗扫描。
　　 单网卡NAT和代理理论上可以做到，但一般的学生达不到这样的技术水平，况且对于一些有意提供网络共享的用户也不会采用，所以可以不考虑该种方式。

　　三、技术上的多种解决途径

　　1. 认证的方式

　　（1）采用802.1X认证客户端的扩展版

　　采用802.1X认证客户端的扩展版，该版本软件不仅可以实现对客户端用户的认证，而且客户端程序可以获取客户端的一些网络信息、服务信息，如双网卡的配置，同时客户端软件可以与服务器进行实时通信实现心跳检测和监控（包括认证过程和上网过程两个阶段），上级接入设备一旦发现用户端采用了PROXY等方式上网，将发出警告信息并终止对用户提供的接入服务。

　　处理流程：

　　（a）交换机上通过命令行指定哪些端口或VLAN启动该特性；

　　（b）用户安装客户端软件，交换机间隔一定时间来询问是否配置了双网卡PROXY方式；
　　（c）如果没有应答或是应答为双网卡方式，则下线；对于正常合法用户不受影响。

　　这种方式的主要考虑是校园网的绝大多数用户为学生，作为校园网的受益者是可以接受安装一个客户端软件的代价的，而教师网段可以不受此限制。

　　优点：

　　（a）可以通过客户端和上级设备的扩展较容易实现PROXY检测和控制；

　　（b）对于PROXY等的检测准确无误；

　　（c）在政府、军事部门对用户管理要求高的地方需求还是很大的，不但是双网卡的问题，对用户同时通过网卡和电话线上网也可实现检测。

　　缺点：

　　（a）客户端需要适应不同的操作系统，需要有多个版本，如Windows 98、Windows XP、Unix等等；

　　（b）最终用户可能会在使用上有情绪意见；

　　（c）对于正常使用代理的服务，可能会误检测控制，这需要设备端管理一个合法用户表项，发现PROXY后先判断是否为合法用户使用；

　　（d）认证终端可能会被最终用户所CRACK或HACK，丧失正常的检测能力，但是这需要相当高的黑客水平，一般学生无法实现，这也是该问题为何从技术上无法彻底解决的问题，解决方法只可能对大多数普通用户有效，一些真正的高水平黑客可能会破解，所谓道高一尺、魔高一丈；
　　（e）需要由运营商或学校出面确认，是客户需要所提供的监控程序。

　　（2）采用WEB认证方式

　　 采用WEB认证的方式，在用户上网认证时，服务器向用户端推出一个认证界面，该界面实现认证的同时可以通过下载的JAVA APP或者ACTIVX程序中内嵌检测程序（该检测程序用户不可见），检测用户硬件配置，并上报, 当然即使在完成认证之后还可对用户端进行实时检测,进行对主机的心跳检测，获得客户端的网络信息和服务信息等，如802.1X的原理。

　　优点：

　　（a）可以通过客户端和上级设备的扩展容易的实现PROXY检测和控制；

　　（b）对于PROXY等的检测准确无误；

　　（c）由于认证界面为主机推送到本地，本地不需要安装任何客户端；

　　（d）在政府、军事部门对用户管理要求高的地方需求还是很大的，不但是双网卡的问题，对用户同时通过网卡和电话线上网也可实现检测。

　　缺点：

　　（a）客户端需要适应不同的操作系统，需要有多个版本，如Windows 98、Windows XP、Unix等等；

　　（b）对于正常使用代理的服务，可能会误控制，这需要设备端管理一个合法用户表项，发现PROXY后先判断是否为合法使用；

　　（c）可能会被最终用户所CRACK或HACK（如Java Applet等方式），丧失正常的检测能力，但是这需要相当高的黑客水平，一般学生无法实现；
　　（d）需要由运营商或学校出面确认，是客户需要所提供的监控程序。

　　2. 网络异常扫描的方式

　　（1）公网地址之间的转换

　　采用PROXY代理的两端都采用公网地址的形式，非私网地址到公网的NAT转换，这时通过网管或者专用的扫描软件可以实现对内外网的客户端进行扫描，获得真实组网情况，并进行控制。

　　优点：

　　（a）实现容易，仅需要网管或专用的网络扫描软件；

　　（b）对于采用公网地址之间的PROXY转换可以实现准确检测。

　　缺点：

　　（a）扫描速度比较慢，如果网络主机比较多的话达到几千台，每进行一个深度扫描循环可能会消耗一天左右的时间；

　　（b）只能扫描网管可达的主机，对于采用公私网地址之间转换的代理可能无法实现准确扫描，除非该PROXY打开转发选项开关。

　　（2）公私网地址之间的转换

　　如果安装了双网卡的机器保护不是特别得好（如PROXY主机没有安装防火墙等程序），而且又打开了转发选项的话，有可能从外网网管站通过SNMP获知到该情况；但PROXY用户可以自主屏蔽这个漏洞。

　　优点：

　　（a）实现容易，仅需要网管或专用的网络扫描软件；

　　（b）对于采用公网地址之间的PROXY转换、以及打开转发开关的PROXY可以实现准确检测。

　　缺点：

　　（a）扫描速度比较慢，如果网络主机比较多的话达到几千台，每进行一个深度扫描循环可能会消耗一天左右的时间；

　　（b）对于采用公私网地址之间转换的代理可能无法实现准确扫描，除非PROXY打开转发选项开关。如宿舍中一台PC作PROXY，通过hub接多台PC，虽然PROXY server安装双网卡，但是对扫描软件来说，内部网卡不可见。

　　 理论上是不可能从网络侧对这样的终端行为进行监控的。当然，从网络侧对第二种形式的组网进行双网卡检测更是相当困难的。
　　3. 用户带宽流量限制的方式

　　（1）限制用户带宽

　　可对接入设备进行配置控制，采用两元组（源IP/目的IP）的方式对每用户带宽进行限制，造成PROXY用户共享带宽时速度缓慢感到不方便；
　　 优点：

　　（a）实现容易，仅需要对现有设备配置管理就可实现；

　　（b）避免升级软件或客户端，避免引起纠纷，可避免程序被CRACK；

　　（c）倡导用户服务质量为中心的整体思路；

　　（d）采用两元组的方式对流量进行控制，可以准确的保证点到点之间的预约流量，对于PROXY代理的控制尤其合适，避免采用五元组的方式造成“只见树木，不见森林”，因为采用五元组只能对一些具体的TCP或UDP等连接进行流量控制，而不可能确切的知道到底有多少条什么样的连接，分别对每条连接应该如何限制。此外控制复杂也是五元组流量限制的弊端。

　　缺点：

　　无法彻底避免代理，对于愿意使用服务质量差的PROXY用户无法彻底禁止。

　　（2）限制用户连接数

　　通过对接入设备进行配置，限制接入用户TCP连接数目，如一个用户分配10个连接，这样PROXY代理将会造成最终用户的不方便而无法正常使用。

　　优点：

　　（a）实现容易，仅需要现有设备配置管理；

　　（b）避免升级软件或客户端，避免引起纠纷，可避免程序被CRACK；

　　（c）倡导用户服务质量为中心的整体思路；

　　（d）这也是两元组控制所独特的优势。

　　缺点：

　　无法彻底避免代理，对于愿意使用服务质量差的PROXY用户无法彻底禁止。

　　4. 流量计费的方式

　　如果是因为PROXY接入的流量影响了运营商的整体收入，可以考虑采用流量计费的方式。

　　可以对用户的流量进行限制、采用流量计费的方法，具体实现可以采用单独的流量计费、或时长+流量计费、或流量包月+流量计费等多种方式（超过一定限度的流量进行额外收费）。

　　优点：

　　（a）依靠设备可以实现；

　　（b）倡导用户服务质量为中心的整体思路、可采取按流量计费的合理消费观念（消费多付帐多、消费少付帐少）。

　　缺点：

　　在运营管理方面要比以往计费方式如包月、跳档制复杂，但这也是新业务开展的新需要。

　　5. 内容扫描过滤的方式

　　通过对出口流量进行监控，例如采用基于内容或状态的防火墙，或是通过端口镜像分析报文内容，可以定位带有非法内容、非法字段的报文，从而采取相应的措施，如断掉相应的TCP连接或是禁止相应的站点等，这是根治非法言论、非法信息这一问题的最好办法。当然也可以防止通过校外的PROXY发布相应的信息。

　　实现方式：

　　（1）NE80等路由器及接入交换机上支持端口镜像，可与入侵检测系统、内容过滤防火墙等配合实现内容过滤；

　　（2）在校园网出口处添加应用层过滤软件或防火墙，对特定字段模式进行过滤--校园的出口流量可以这样进行监控；

　　（3）在BBS等服务器上添加关键词过滤模块，这个已经在绝大多数BBS/WEB 论坛上实现了；校内的论坛也可以这样进行监控；

　　（4）对出口记录、言论信息、NAT转换等做日志存档，并进行分析审计，做到有案可查、有据可依，保证问题可追踪，确定责任人。

　　优点：

　　（a）可充分利用路由器、防火墙设备的报文过滤、状态检测等特性；可利用路由器、交换机、防火墙等设备的日志审计、分析特性，以及网管、认证计费系统等的安全管理特性；

　　（b）倡导安全解决方案思路，提出网络业务与安全融合的整体解决方案

　　缺点：需要增加防火墙、入侵检测或日志服务器等设备。

　　四、总结

　　总之，从技术上来看，对于这一问题，根本没有完美的解决方案。PROXY问题现在是业界的难题。这关系到整个网络业务与安全融合的整体解决方案，仅仅依靠单一的技术手段是无法杜绝这一问题的，这需要从用户认证、访问控制、过滤、安全扫描、计费、防黑客、日志追踪分析等多个安全方面全面考虑，推荐使用以下方式配合使用：

　　（1）采用路由器报文过滤、防火墙监控、日志追踪分析等方式对非法字段、言论、非法URL进行过滤检测；

　　（2）采用网络扫描程序+安全网管对整个网络实时监控，做到用户管理心中有数；

　　（3）根据具体用户情况使用802.1X认证客户端或WEB认证的方式；

　　（4）充分利用交换机和路由器的用户管理、流量控制、ACL等特性；

　　（5）流量计费是用户可管理可运营发展的合理方式，必将逐步取代目前的计费方式。

　　当然最好的解决方案就是多种手段综合应用，既要采用多种技术手段配合防护，也要从管理制度的角度出发进行一些规范管制，全面的防范这一问题的发生，使其所造成的危害降到最低。对于采用PROXY进行的网络活动，应该有一些制度规定：通过PROXY进行的一切网络活动，都应该由PROXY的拥有者担负责任或连带责任；对于侵害信息安全的网络用户通过追踪定位，一经查处，将担负刑事责任。

　　所谓道高一尺、魔高一丈，尽管通过全面的手段也只能逐步完善解决方案，需要监控、防范、响应、完善等多个阶段周而复始地渐渐提高整个网络设备和业务的安全性。这一安全问题类似于病毒对计算机网络信息的危害一样，只能不断的检测发现、捕捉特征、完善病毒库、再次检测完善等等。

　　此外，在实施安全方案考虑的时候，从成本方面也要进行一些分析对比，与客户进行成本分析，对于安全问题的防范所付出的成本代价是否合理。
]]> http://www.zhenghe.biz/read.php/.htm#blogcomment <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.zhenghe.biz/read.php/.htm#blogcomment