发布时间 : 星期一 文章终端识别技术白皮书更新完毕开始阅读9ee1f37910a6f524ccbf8568
文档名称 文档密级
终端指纹识别技术白皮书
关键词:终端识别、DHCP指纹
摘 要:本文介绍终端指纹识别技术的产生背景、技术要点以及在BYOD解决方案中的
应用。
缩略语:
缩略语 英文全称 含义 BYOD UAM OUI DHCP Bring Your Own Device User Access Manager Organizatinally Unique Identifier Dynamic Host Configuration Protocol
用户所有设备 用户接入管理 企业设备识别ID 动态主机配置协议
2014-10-07
H3C机密,未经许可不得扩散 第1页, 共21页
文档名称 文档密级
目 录
1 概述 .................................................................................................................................. 3 2 终端识别常用技术 ............................................................................................................ 3
2.1 主动式设备指纹识别 ..................................................................................................... 3 2.2 被动式设备指纹识别 ..................................................................................................... 4
2.2.1 TTL (Time To Live)。 ............................................................................. 5 2.2.2 TCP指纹分析 ................................................................................................ 6 2.2.3 SMB指纹分析 ............................................................................................... 7 2.2.4 DHCP指纹分析 ............................................................................................. 8 2.2.5 HTTP指纹分析 ............................................................................................. 9 2.2.6 MAC OUI分析 ............................................................................................. 10
3 UAM系统终端识别技术实现 ............................................................................................ 11
3.1 UAM系统终端识别流程图 ............................................................................................ 11 3.2 DHCP 插件 ................................................................................................................. 13 3.3 DNS插件 ...................................................................................................................... 13 4 UAM终端指纹配置实例 ................................................................................................... 13
4.1 厂商配置...................................................................................................................... 14 4.2 终端类型配置 .............................................................................................................. 15 4.3 操作系统配置 .............................................................................................................. 15 4.4 DHCP指纹配置 ............................................................................................................ 16 4.5 Http User Agent指纹配置 ............................................................................................ 18 4.6 MAC OUI指纹配置 ....................................................................................................... 20 5 参考文献 ......................................................................................................................... 21
2014-10-07
H3C机密,未经许可不得扩散 第2页, 共21页
文档名称 文档密级
1 概述
当前,随着智能终端的快速推广,IT消费化的潮流越来越明显,越来越多的企业员工希望使用移动设备访问公司邮件、企业内网等资源,同时希望使用自己的移动设备进行工作。BYOD(Bring Your Own Device)作为IT消费化的一个重要表现形式,对原有的企业网络接入管理产生了严重冲击。出于安全考虑,企业IT管理员需要根据不同的用户终端类型,定义不同的网络访问策略。如何高效、准确识别终端类型,则成为每一个BYOD解决方案提供商必须解决的问题。
所谓识别终端类型,关键是识别终端的设备类型、操作系统类型和制造商信息。就好象每一个人都会拥有一个独特的指纹一样,每一种终端也会具备自己独特的特性。而这些独特的特性,会在终端设备同外界通讯的行为中体现出来。通过跟踪终端通信行为,分析其特性,从而判断终端类型信息的技术,称为终端指纹识别技术。
2 终端识别常用技术
理论上,所有终端设备的通信层都是按照网络协议的规范进行设计的,其所有的通讯特征应该是与操作系统、设备无关。然而由于定义、阅读和理解这些网络规范的不同角度,或者是程序开发人员对于具体的异常、特别的场景的处理实现方式的不同,各个终端设备在网络上的行为确实有些不一样。这些不一样的独特特征就是设备的指纹,他们观察到并分析处理。这些独特特征,业界称之为设备的指纹。
目前设备指纹识别技术主要分为两个技术流派,分别被称为主动式与被动式。
2.1 主动式设备指纹识别
主动式意为,需要主动向被鉴定的设备发送一定数量的特别组合的数据包,根据对方的反应来确定对方的设备型号、操作系统类型甚至版本号。这一技术常常被应用到网络安全领域,当黑客或安全专家需要对远程系统进行渗透时,常常以设备指纹识别的动作作为开场白。这一领域的著名工具有 Nmap 和 Xprobe 等。尤其值得一提的是 Nmap, Fyodor@insecure.org 制作了这个集网络扫描、指纹识别于一体的便捷工具,几乎成为黑客的制式装备。而另外一
2014-10-07
H3C机密,未经许可不得扩散
第3页, 共21页
文档名称 文档密级
位著名的以色列黑客 Ofir Arkin 撰写的 Xprobe 则 以主动识别操作系统指纹为主要设计目标,增加了更多的识别方法,并且提出了主动式ICMP的识别方法 (通过发送几个icmp包来确定对方系统)。Nmap/Xprobe 中运用了诸如 FIN探测、错误TCP标志位探测、TCP 起始序列号采样、IPID采样、TCP 时间戳扩展、TCP 起始窗口大小、ACK 值、ICMP 错误信息测试、碎片处理现象等多种技术组合进行探测和鉴别。主动式设备指纹识别技术由于通常限于在网络安全/黑客领域进行使用。在BYOD领域,被动式指纹识别技术更为常用。
2.2 被动式设备指纹识别
被动式的技术体系坚持在不发送任何数据的情况下就达到识别设备指纹的目的。这样的实现机制可以在对网络不产生任何影响的情况下,收集更加详尽的信息,以便提供给网络管理与安全管理之用。被动式指纹鉴别技术由于不发送任何探测尝试,因此必须通过数据包捕获的方式实现。
通常而言目前的被动式指纹鉴别基于以下技术方向: ? 默认TTL值
? TCP 被动分析(尤其针对三向握手和 RST包)
? TCP 滑动窗口尺寸 ? 窗口滑动特性 ? 选择性ACK的应用 ? TCP 时间戳 ? TCP NOP/EOL选项 ? DHCP过程分析 ? SMB Logon分析 ? NBNS分析 ? CDP 分析 ? SAP 分析 ? SNMP分析 ? uPNP分析 ? http分析 ? ICMP分析
2014-10-07
H3C机密,未经许可不得扩散
第4页, 共21页