什么是终端防仿冒?
终端防仿冒是一种终端检测和管控技术,它能够学习终端访问网络的流量特征并形成流量行为模型,借助流量行为模型识别仿冒终端,最终对识别出的仿冒终端自动下发隔离策略。
为什么需要终端防仿冒?
IP话机、IP摄像头和打印机等哑终端一般通过IP地址白名单或者MAC认证等安全性低的方式接入网络,并且通常缺乏定时查杀病毒的机制。因此非法终端容易仿冒终端的IP地址或MAC地址,并借此攻击网络。
为了避免IP话机、IP摄像头和打印机等终端引发此类问题,设备提供了终端防仿冒功能。终端防仿冒功能可以辅助管理员管理网络,实现对终端的信息管理、异常检测和异常管控,从而降低网络受到非法仿冒终端的风险。
终端防仿冒应用场景有哪些?
让我们看个例子,如下图所示,打印机、IP摄像头和IP话机等哑终端通过交换机接入网络。
非法终端容易仿冒哑终端的IP地址或MAC地址,并借此攻击网络。因此可以在接入交换机(如SwitchA和SwitchB)上部署终端防仿冒功能,识别仿冒终端并控制其网络访问权限。
终端防仿冒应用场景
终端防仿冒交互流程
下面以打印机这一类终端为例,说明使用终端防仿冒对终端实施信息管理、异常检测和隔离策略的过程。基本消息交互流程图如下图所示。
终端防仿冒交互流程示意图
在整个过程中的基本消息交互流程如下:
- 管理员在交换机上配置终端防仿冒功能。包括手动录入终端信息,全局使能终端异常检测功能,对终端开启异常检测功能和配置终端隔离策略。
- 合法终端通过交换机接入网络,因此交换机接收到合法终端发送的ARP报文。交换机将管理员手动录入的终端信息与合法终端发送的ARP报文相比较。当二者能够匹配、且设备已经全局使能终端异常检测功能时,交换机会生成对应的终端表项。
- 交换机识别合法终端符合终端异常检测的终端类型,因此采集该终端的流量行为特征,通过算法分析推理,最终判断终端的流量行为正常。
- 一段时间后,仿冒终端冒充合法终端MAC地址或IP地址,通过交换机接入网络,企图攻击网络。
- 交换机采集仿冒终端的流量行为特征,通过算法分析推理,判断终端的流量行为异常。交换机对仿冒终端执行终端隔离策略。仿冒终端被隔离,无法访问网络。
