在部署在线行为管理的局域网中,总会有人想各种办法突破在线网管控制。常见的方法有:
IP地址盗窃。Mac地址克隆。首先可以考虑不开放管理员权限,或者通过域控制禁止客户端修改网络设置。其次,我们也可以通过网上行为管理的控制策略来预防这些行为。在这篇文章中,我将介绍如何使用WSG互联网行为管理网关来处理IP地址盗窃和MAC地址克隆。
如何防止IP地址被盗?
IP地址盗用有两种可能:第一种是改成控制范围之外的IP地址;二是修改局域网内其他终端的IP地址。
在第一种情况下,只需要采用防火墙策略或行为管理策略来禁止IP范围之外的一切。如图所示:
窃取已有IP地址会导致IP地址冲突,很少有人敢公然这么做。当然,为了防止现有IP地址被盗用,也可以打开IP-MAC绑定。打开绑定后,只有IP地址和MAC地址匹配才能上网。如图所示:
只要做了IP-MAC绑定,即使把IP地址改成局域网内其他权限的IP地址,也无法上网。这样就可以阻止自己修改IP的行为。
如何防止MAC地址克隆?
MAC地址克隆基本上也是两种做法:
1).修改您的MAC地址以绕过监控。但是大部分控制策略都是基于IP地址的,所以修改MAC是没有用的。为了防止修改MAC,打开IP-mac绑定就足够了。
2).私接路由器,将路由器的MAC和IP修改为电脑的MAC和IP。然后用路由器带上PC、手机等设备。
第二种情况比第一种情况复杂得多。从互联网行为管理和防火墙设备的上层来看,IP和MAC地址都是合法的,但实际上私有设备更多。这时候就需要另一个模块“共享检测”了。如图所示:
共享检测模块可以检测到上述网络共享行为,可以看到该设备下面的二级终端设备。如图所示:
通过这种方式,可以检测到私有连接的路由器的行为。
综上所述,ip控制、IP-mac绑定、共享检测相结合,可以有效控制局域网内的“mac地址克隆”、“IP盗用”等非法行为。
