終端防仿冒是一種(zhǒng)終端檢測和管控技術,它能(néng)夠學(xué)習終端訪問網絡的流量特征并形成(chéng)流量行爲模型,借助流量行爲模型識别仿冒終端,最終對(duì)識别出的仿冒終端自動下發(fā)隔離策略。
終端防仿冒的目的
IP話機、IP攝像頭和打印機等啞終端一般通過(guò)IP地址白名單或者MAC認證等安全性低的方式接入網絡,并且通常缺乏定時查殺病毒的機制。因此非法終端容易仿冒終端的IP地址或MAC地址,并借此攻擊網絡。
爲了避免IP話機、IP攝像頭和打印機等終端引發(fā)此類問題,設備提供了終端防仿冒功能(néng)。終端防仿冒功能(néng)可以輔助管理員管理網絡,實現對(duì)終端的信息管理、異常檢測和異常管控,從而降低網絡受到非法仿冒終端的風險。
對(duì)于說明使用終端防仿冒對(duì)終端實施信息管理、異常檢測和隔離策略的過(guò)程,以打印機終端爲例,基本交互流程圖如下所示:
終端防仿冒交互流程示意圖
1.管理員在交換機上配置終端防仿冒功能(néng)。包括手動錄入終端信息,全局使能(néng)終端異常檢測功能(néng),對(duì)終端開(kāi)啓異常檢測功能(néng)和配置終端隔離策略。
2.合法終端通過(guò)交換機接入網絡,因此交換機接收到合法終端發(fā)送的ARP報文。交換機將(jiāng)管理員手動錄入的終端信息與合法終端發(fā)送的ARP報文相比較。當二者能(néng)夠匹配、且設備已經(jīng)全局使能(néng)終端異常檢測功能(néng)時,交換機會(huì)生成(chéng)對(duì)應的終端表項。
3.交換機識别合法終端符合終端異常檢測的終端類型,因此采集該終端的流量行爲特征,通過(guò)算法分析推理,最終判斷終端的流量行爲正常。
4.仿冒終端冒充合法終端MAC地址或IP地址,通過(guò)交換機接入網絡,企圖攻擊網絡。
5.交換機采集仿冒終端的流量行爲特征,通過(guò)算法分析推理,判斷終端的流量行爲異常。交換機對(duì)仿冒終端執行終端隔離策略。仿冒終端被(bèi)隔離,無法訪問網絡。