你的位置: 开奖直播 > 开奖直播 >

无线路由设备接入的安全风险

更新时间:2019-08-14      

  随着视频监控网络的快速发展,非法接入已经成为不可忽视的问题。非法接入手段包括计算机非法替换前端摄像头、计算机克隆前端摄像头隐藏接入、无线路由接入等,其中利用无线路由设备基于NAT接入是最常见最隐蔽的一种非法接入方式。

  所谓NAT接入,主要是指以代理模式通过地址转换的方式提供的接入。随着便携型NAT接入设备尤其是小型无线路由器的普及,很多终端用户为了图方便,如可以同时连接多台设备,可以使用无线等,常以NAT方式私自将该类设备接入内部网络,这种接入方式对外表现为单点普通接入,实际上却有几台甚至十几台设备同时在接入,网管人员很难检测和监管。尤其是无线路由器的NAT接入,不仅大大扩展了内网的边界,其无线米,大丰收心水论坛276666,功率强大的覆盖几百米,由于无线的加密算法易于破解,这就为外部入侵内网提供了便利,由此带来的安全风险之大不可小觑。

  基于NAT的非法接入只需要使用NAT路由器就可以使大量无法上网的设备实现对视频监控网络的非法接入。由于此接入方式实现起来最容易,所以被广泛使用,造成的影响也最为恶劣。因此,必须采取一定的措施对这种非法接入行为进行遏制。

  把无线路由器作为HUB使用,这是最简单也是最常见的私自扩容网络的方式之一。

  无线路由器都提供NAT接入方式,便于网络扩容和私建网中网,是最隐蔽最难监管的接入方式。该接入模式下,对于管理者而言是单点普通接入,实际上却有几台甚至十几台设备同时在接入,所有连接至该路由设备的会分配一个私有IP地址,隐藏了网络外部接入设备IP地址和设备数量,通过NAT转换访问内部网络具有极强的隐蔽性。

  此方式是躲避和欺骗监管的主要接入方式,类似常规NAT接入。该种模式多是私接者为了破解网络准入(如在交换机端口做了MAC地址绑定)的限制,会先将路由器的MAC地址修改为交换机端口已绑定的MAC地址,对于管理员来说,看到的也是合法的一台设备接入,实际上却是一台经过MAC伪装的路由设备,该路由设备上可能同时私接了很多设备,并以NAT方式访问内部网络。

  为了实现隐蔽接入的目的,以第2和第3种的NAT方式接入网络是目前进行网络私自扩容最简单和有效的方式。

  视频监控网络内部私接无线路由设备,使得本应局限在内部建筑的网络边界直接辐射到以建筑为核心的方圆30米甚至更远的距离,大大扩展及破坏了内网已有的网络边界,攻击者可借助该WIFI通道使内部网络遭受攻击以及侵入的风险急剧增加。

  私接的无线路由虽提供了一定的安全措施,但常因使用者的安全意识及技术水平的限制,无法充分发挥路由设备自身的安全防护能力,使得无线路由设备很容易遭受攻击和破解,外部入侵者可以轻易的在方圆30米甚至更远的距离上,通过破解以及欺骗的手段,通过无线路由设备直接侵入内部网络,轻易对内部网络实施破坏行为。

  对于网络内部还存在HUB或者类似HUB接入的网络,针对私接无线路由设备的监管非常困难,管理者很难区分清楚这些提供HUB接入的设备是合法的还是私接的,是有线的还是无线的。更难以监管的是通过NAT方式接入的路由设备,即使管理者通过MAC和设备端口绑定的方式进行限制,建立了基于802.1X的接入控制体系,此类设备仍可通过欺骗等手段方便的接入,这种接入的隐蔽性和欺骗性使管理者难以发现,更谈不上监管。