IP知识百科 > 终端防私接

什么是终端防私接？

私接是指终端未经认证接入网络。UAP (Unauthorized Access Prevention) 防私接是一种重要的安全接入与认证特性，通过分析流量信息，判断终端是否存在私接行为，并进行告警、阻断。通过防私接功能防护，可以解决终端未经认证接入网络带来的安全隐患及规避计费引发的损失等问题。

为什么需要终端防私接？

海量终端接入政企、教育、医疗园区，私接问题频发，带来安全风险高和规避计费引发的损失两大挑战。传统的防私接手段存在以下问题：

IPSG唯一绑定端口、IP、MAC，可以防止私接HUB，但配置复杂。
DHCP snooping丢弃非信任接口DHCP应答报文，保证DHCP客户端从合法的DHCP服务器获取IP地址，但无法检测私接类型。
终端识别技术通过二三层识别技术如DHCP、LLDP、mDNS协议识别，结合应用层识别技术如User-Agent识别、SSDP协议，可以识别入网终端类型，但识别私接路由器准确率不高，无法识别私接WiFi。

为了解决以上问题，设备嵌入式智能防私接技术应运而生。

校园网络中，学生在宿舍和实验室私接HUB，私接路由器上网，带来网络安全问题，同时规避计费引发运营商效益损失。企业移动办公需求增加，网络终端准入类型越来越复杂化，员工私开热点，私接路由现象屡禁不止，给企业网络运维管理带来负担，还增加了企业信息资产泄露的风险。

防私接主要有以下几类场景：

私接HUB：学校学生和企业员工为了方便上网，私自接 HUB然后将违规的私人终端通过这些 HUB接入网络。增大了网络运维管理的难度。
私接路由器：学校学生和企业员工为了方便上网，在接入交换机或者AP下私接路由器，多账号共享上网。
私接Wi-Fi共享：政府和金融等单位，出于信息安全的考虑，内网中禁止架设无线网络。但有些办公人员为了个人需要便利，会使用无线WiFi共享络，供个人手机等设备使用。对于私接网络的设备，会将内部网络暴露给外部，容易被不法分子利用，从而侵入到内网环境，给单位造成不必要的损失

私接终端场景

因此，在这些场景，通过防私接检测功能，可以实时检测出网络中的私接行为，私接位置，上报私接行为告警到iMaster NCE-Campus，通过iMaster NCE-Campus可下发私接阻断。

网络管理员一键开启防私接功能，接入设备获取转发流程中的上行报文，构建流特征画像，基于终端流特征检测算法判断当前流量是否存在异常，决策是否存在私接行为，识别私接行为类型。私接类型主要包括私接HUB、私接路由器以及私接WiFi。当设备检测到私接，会生成告警并上报iMaster NCE-Campus。

私接用户通过HUB方式扩展端口，使得单端口接入多个用户，给网络带来不安全因素。

私接HUB检测

针对私接HUB场景，可以通过单端口下是否存在多个IP和MAC来判定。由于正常的用户端口下只会存在一个IP和MAC地址，在一段时间中交叉检测到某个端口下存在多个IP和MAC，则可判定为私接HUB。

用户通过私接路由器，接入多个终端，用以规避计费，同时给网络带来不安全因素。

私接路由器检测

针对私接路由器场景，可以使用TCP/IP、HTTP以及DNS等协议的特征综合判定。通过获取同IP流序列的TCP SYN、HTTP以及DNS等报文，解析出IP TTL、UA以及域名等特征信息。下面为不同特征的检测说明：

TTL：不同的操作系统TTL值固定，初始值为128、64、255、32等，经过路由 NAT后值会减1。当设备检测到上送的终端报文的TTL值为非法值（非上述初始值）或者IP的报文序列存在多个TTL值时，可以判断其存在私接行为。
UA：HTTP头部中的User-Agent字段，该字段包含厂商、终端类型、操作系统、浏览器等信息。可解析提取出UA字段中的操作系统特征，根据这些特征来判断是否存在私接行为。
DNS：操作系统在连接到网络时会执行连接测试、检查更新等操作，这些操作的DNS报文中包含特殊的域名（含有操作系统的信息），我们可以以此生成操作系统特征。

最终，通过这些融合特征检测出接入网络的操作系统类型在一定时间内是否持续跳变来判断用户是否存在私接行为。