隔离网主机违规外联检测原理及实施方案

时间：2023-04-18 20:44:01 | 来源：网站运营

时间：2023-04-18 20:44:01 来源：网站运营

隔离网主机违规外联检测原理及实施方案：

隔离网主机违规外联检测原理及实施方案

一、前言概述

介绍如何检测隔离网中电脑违规连接互联网，以及具体实现的方法。通过在内网中实施流量监听，在内网特定网站上插入预设代码，当内网主机访问这个特定网站的时候，会出现尝试访问互联网的动作，从而暴露有可能存在的内网主机违规连接互联网的情况。

二、文章背景

很多重点行业都部署隔离网用于确保网络安全，比如金融、能源、医疗、水利、电子政务等等。除正常的基础投入外，隔离网建设还需要单独部署光缆、光闸等隔离设备，投入较大，安全等级高。但由于众所周知的原因很多隔离网并不安全。相当一部分单位，隔离网安全风险多如牛毛，个别隔离网遭受勒索病毒攻击大面积瘫痪，行业性、区域性受灾触目惊心！

鉴于这种高危风险形势的存在，很多隔离网运维部门相当关心在隔离网中可能存在的主机直接连入互联网的风险，包括检测并整治隔离网主机乱用互联网U盘、违规连接互联网wifi、使用双网卡做逻辑隔离等等。

1、隔离网主机违规外联现状

一是服务器远程运维风险。隔离网主机违规连接互联网，情况最多并且后果最严重的是运维人员为解决远程运维需要，在隔离网打通连入互联网的隧道，导致隔离网可以被互联网远程访问。这个情况不谈。

二是双网卡外联风险。很多隔离网使用的是一体机电脑，这种电脑带有无线网卡，使用者稍微有不慎就可能启动本机无线网，有意或者无意连接到互联网wifi。出现这种情况的电脑虽然占全网比例不大，但实际数量也并不少，容易导致感染病毒和数据泄密的风险。

三是终端主机假隔离。有的单位通过各种手段让办公电脑无法打开互联网网站，号称“无法联网”，实际上电脑本身可以访问互联网任何IP。以很多医院为例，号称和互联网隔离，办公电脑无法打开互联网网站，但每个医生都有一台办公电脑用于给病人看病开药，由于这些办公软件也会像我们TeaPot一样经常莫名其妙出问题，所以很多电脑安装了向日葵远程控制软件，一旦软件出现问题以后，会有软件售后服务通过向日葵远程联上来协助处理软件问题。

看到这里有人会说，怎么会有这种事情？把向日葵给他卸了，让他电脑不能联网不就行了。那只能说这种人相当弱智。

2、当前隔离网主机违规外联检测

既然意识到违规外联的风险隐患，那么如何发现这种违规外联行为，就成了运维部门比较关心的问题。虽然如此，但市面上这种解决方案不多，尤其针对大量个人办公终端的检测更是比较复杂，综合来讲很多方案基于如下两个原理：

一是依赖终端软件。在隔离网电脑上安装专用检测软件，如果这台主机可以联互联网，那么终端软件肯定可以检测到。这种方法最为有效，但效果不好，因为如果存在故意连接互联网的行为，电脑用户肯定不会运行这个软件；

二是依赖网络流量。通过交换机上或防火墙上的流量，检测是否存在与互联网的通讯。这一点效果会相当差，因为隔离网的交换机本身是无法联网的，就算网内有终端使用双网卡上网的情况，流量也不会经过核心交换机。再加上几乎所有办公电脑上的软件都会不断正常访问微软、百度、360这类网站，所以这种流量检测的做法误报率高的无法接受。

既然违规外联的问题比较严重，而且缺少较好的、便宜的检测方案，那么我们就研究这个问题，解决这个问题！

三、简易有效的解决方案

下面介绍一种针对隔离网内的主机进行网站劫持的技术方案，可以有效发现隔离网中的终端可能存在的违规外联问题。当然这种方法也不是我首创的，但我们把这个功能集成到了TeaPot上，就实现了一个非常特殊的效果：不花钱。

1、方案原理

在隔离网内，通过控制内网DNS服务器，将隔离网某个特定的网站服务器指向一台流量中转服务器，当有用户访问这个网站的时候，流量中转服务器一方面正常转发网站数据，一方面在网页中插入一段js脚本，也就是实施了内网针对特定网站的内容劫持。

当这段js脚本随着网页代码一起下发到用户电脑的时候，用户的浏览器会尝试执行js脚本，如果js脚本的功能是访问一个互联网网站，那么这时候在互联网网站上就会出现这个主机的访问记录，从而实现了检测这个用户是否违规连接互联网的情况。

2、需要说明的问题

上面的方案，有些内容需要说明：

一是为什么不直接在隔离网的网站上直接嵌入这个js脚本？答案：肯定是可以的。但不方便控制，而且可能要处理很多网站。

二是js脚本会不会对用户有其他影响。答案：控制js脚本的内容，不会对网站或者用户有其他影响。

三是会不会触发防火墙或杀毒软件等安全机制。答案：应该不会触发相关安全机制或引起相关报警。

四是可以在交换机上通过流量监测实施吗？答案：可以的，但交换机上控制流量实施应该成本比较高。

五是SSL加密的网站可以实现吗？答案：可以实现，但我们软件不提供针对SSL加密传输的网站检测方案。

总之我这个方案是最简单、便于部署的，而且可以随时调整。

四、简易有效的解决方案

上面的解决方案，我集成在我们的TeaPot安全辅助软件上，以便实现简单部署，下面以家庭网络为例，讲解配置和实施过程：

1、事前准备

在隔离网中，通过设置内网路由器、防火墙、DNS服务器等方式，将内网的DNS服务指向TeaPot软件。这里前面有讲述，比如我在家里，把家里路由器上的DNS服务设置成TeaPot所在的内网主机IP，这样以来这个网络里所有终端上网都会经过TeaPot转发：







2、软件参数配置

首先在内网选择一个网站，比如大家经常使用的门户网站等。然后将网站域名在软件中配置，也就是下图第一个选项。我这里设置了我们网络安全协会的网站。

其次设置本机IP和网站端口，这么做的目的是将本机作为流量中转主机，当用户访问上面网站的时候，执行js脚本的插入动作。

再次是设置网站服务器IP和端口。流量中转功能会把用户流量转发给这个内网的网站服务器，保证用户访问网站正常。

最后配置互联网接受访问的地址参数。这里感谢徐忠毅同学协助，使用了他的个人网站作为违规外联的互联网端监测接口。配置如下图：







3、软件执行过程

我做了个图，水平比较差：







监测执行流程为：

1、内网用户尝试访问内网某网站；

2、路由器上的DNS服务指向TeaPot软件，当TeaPot监测到用户访问指定的网站，会把把域名指向到本机的流量代理端口；

3、用户主机根据TeaPot指引，访问TeaPot的流量代理功能；

4、TeaPot流量代理功能向内网网站发起内容请求，当接收到数据后，在网站数据中插入了一条js代码，如下：







5、用户电脑接收到流量，打开网页时候也会尝试访问上述指定的网站，如果该电脑处于连接互联网状态，则上述网站可以看到访问记录。我们在网站上做了个违规外联的日志解析，可以获取到联网时候的公网IP和内网IP，如下：







请注意这里说的内网IP是隔离网中配置的内网IP，可以供管理员直接定位到发起违规外联的隔离网主机。

五、总结

在当前缺少低成本违规外联检测方案的情况下，本文介绍了一种简单有效的隔离网违规外联主机的检测方案，使用TeaPot可以简单实现对这种违规外联行为的检测。

我们致力于揭示网络安全现状，倡导并直接提供低成本、高效率的安全解决方案，在本次问题解决过程中，感谢知道创宇的superhei专家、江苏警校徐忠毅同学的协助。

另：由于软件稳定性需要改进，目前本功能版本TeaPot尚未发布，您可以参考该思路，使用其他替代解决方案实施。