Skip to main content

 路由器网 > 新闻资讯 >

利用IPSec安全策略阻断内网违规外联

2014-06-12 22:59 浏览:

在某些企业中出于安全目的建设了信息内、外网两套物理隔离网络系统,与生产相关的重要应用均在信息内网中运行。由于用户终端数量众多,员工使用习惯各异,不可避免的存在内网终端违规外联的情况,导致企业重要机密外泄风险可能性大大提高。

违规外联的表现形式主要有以下三种:

  • 内网终端通过修改网卡IP地址、更换信息点接口接入外网。

  • 内网终端为配置无线网卡(WiFi)的笔记本电脑,该无线网卡连接了外网的无线路由器

  • 内网终端上安装了USB 3G上网卡直接接入互联网。

为防止上述违规行为的发生,比较常规的方式是部署桌面行为管理软件、IP与MAC地址绑定、部署防火墙并添加安全策略等,这些常规方法能在一定程度上起到作用,但是不能在根源上阻断非法外联事件发生,特别是对于无线方式接入,常规防范方法效果甚微。

本文提供了一种通过配置IPSec安全策略,在根源(终端侧)阻断违规流量的方法,其主要实现思想是根据企业信息内网IP地址分配特点,在终端机器上通过配置IPSec安全策略,允许目的地址为内网IP的流量通过,同时禁止其它流量,从而有效的解决上述三种主要违规外联方式的发生。


1 IPSec安全策略介绍

1.1 IPSec安全体系结构

IPSec(Internet Protocol Security,Internet协议安全),是网络安全业内的一种开放标准,通过使用加密安全服务以确保网络通信的保密性和安全性。IPSec是一种跨平台的安全标准,目前主流的操作系统基本都支持IPSec,都可以通过IPSec来提升安全性。

IPSec是集多种安全技术为一体的安全体系结构,是一组IP安全协议集。IPSec工作在网络层,对用户和应用程序是透明的,它可以提供对服务器的受限制的访问,可以自定义安全配置。IPSec提供的功能主要有以下三种:

  • 数据加密。IPSec提供了数据加密服务,保证了数据在传输过程中不被非法用户窃听,它由IPSec中的ESP(Encapsulating Security Payload,封装安全载荷)模块提供,算法采用CBC(Cipher Block Chaining,加密块链接)方式,这样确保了即使信息在传输过程中被窃听,非法用户也无法得知信息的真实内容。

  • 数据源地址验证和数据完整性检查。IPSec使用HMAC(Hash-Base Message Authentication Code,基于哈希算法的消息认证码)进行数据验证。HMAC是使用单向散列函数对包中源IP地址、数据内容等在传输过程中不变的字段计算出来的,具有唯一性。数据如果在传输过程中发生改动,在接收端就无法通过验证。

  • 防止重发攻击。IPSec使用AH(Authentication Header,认证头)为每个SA(Seccurity Association,安全关联)建立系列号,而接收端采用滑动窗口技术,丢弃所有重复的包,因此可以防止重发攻击。

 

IPSec是安全联网的长期方向,它通过端对端的安全性来提供主动的保护,以防止来自专用网络与Internet的攻击。在通信中,只有发送方和接收方才是惟一必须了解IPSec保护的计算机。IPSec提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet以及漫游客户端之间的通信。
 

1.2 IPSec安全策略

在Windows系统中,IPSec被设计成了组策略中的一个组件,称为IPSec安全策略。在本文的案例中,主要是在内网终端使用率比较高的Windows 7系统中配置IPSec安全策略,所有操作同样也适用于Windows XP/Windows 8系统。

在“开始\运行”中输入并执行“gpedit.msc”,打开组策略编辑器,在“计算机配置\windows设置\安全设置\IP安全策略”中可以对IPSec进行配置。

IPSec安全策略的功能主要通过IPSec规则实现,通过IPSec规则来确定允许或禁止哪些网络通信,或是对哪些网络通信进行加密。每条IPSec规则又包括“IP筛选器”和“筛选器操作”两部分。筛选器的作用是用来定义数据类型,筛选出符合要求的数据;筛选器操作则用来指定对这些筛选出来的数据进行什么操作。

因而,定义IPSec规则主要分两步进行:首先定义IP筛选器,然后定义对筛选器的操作。