CN104243261A - 一种私网资产的远程安全评估方法 - Google Patents
一种私网资产的远程安全评估方法 Download PDFInfo
- Publication number
- CN104243261A CN104243261A CN201410393627.8A CN201410393627A CN104243261A CN 104243261 A CN104243261 A CN 104243261A CN 201410393627 A CN201410393627 A CN 201410393627A CN 104243261 A CN104243261 A CN 104243261A
- Authority
- CN
- China
- Prior art keywords
- message
- address
- assets
- scanning
- l2tp tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种私网资产的远程安全评估方法,包括建立SOC平台的公共代理与业务平台的本地代理之间的L2TP隧道;进行安全评估任务时,将公共代理的网卡设置为混杂模式,捕获到评估工具中扫描工具的原始扫描报文,封装该原始扫描报文发送给本地代理;将该原始扫描报文的源IP地址修改为本地IP,被扫描的资产根据扫描内容进行响应,将扫描后的结果报文发送给本地代理;将结果报文的本地IP地址还原,并封装结果报文,公共代理收到封装的结果报文后,转发给评估工具进行结果报文分析,得到资产的安全分析结果,本发明还提供一种私网资产的远程安全评估装置,使得远程评估可行,大大提高了评估效率以及降低了评估成本。
Description
技术领域
本发明涉及一种私网资产的远程安全评估方法。
背景技术
运营商各地市城域网、各业务平台内存在普遍现象:其中SOC平台中的安全评估子系统位于一个内网(即私网)中,而资产群部署于防火墙NAT之后,即这些资产群在其他的内网中,所述资产群包括一个企业内部的电脑、主机,只有个别会映射到公网IP,因此在网络层通路层面上,造成安全评估工具无法对大部分防火墙NAT后的资产进行访问,导致评估工具中的扫描工具没有办法扫描到这类型资产,最终导致远程安全评估没有办法有效开展。
当前低效的办法由运营商运维人员,采用手持远程安全评估工具到现场,针对这些NAT后不可达资产进行本地评估,大大降低了安全评估的便捷性以及评估工具的利用率,含有以下缺陷:
缺陷一:安全评估工具重复购买,增加运营商成本;为了对私网资产进行评估,需购买移动式评估工具。
缺陷二:增加安全评估工作时间成本:评估人员需多次变更空间位置,接入不同的私网进行安全评估,评估时间延长。
发明内容
本发明要解决的技术问题之一,在于提供一种私网资产的远程安全评估方法,使得远程评估可行,大大提高了评估效率以及降低了评估成本。
本发明之一是这样实现的:一种私网资产的远程安全评估方法,包括如下步骤:
步骤1、建立SOC平台的公共代理与业务平台的本地代理之间的L2TP隧道;
步骤2、SOC平台进行安全评估任务时,设定扫描资产的私网IP地址及其关联的本地代理IP地址,之后将评估工具的网关配置为公共代理地址,将公共代理的网卡设置为混杂模式,捕获到评估工具中扫描工具的原始扫描报文,封装该原始扫描报文,通过L2TP隧道发送给本地代理;
步骤3、本地代理接收封装后的原始扫描报文,将封装的原始扫描报文中的L2TP隧道报头拆除,变为原始扫描报文,并将该原始扫描报文的源IP地址修改为本地IP,同时建立map映射表,并记录下该映射关系,之后将修改的原始报文发送给指定的被扫描的资产;
步骤4、被扫描的资产根据扫描内容进行响应,将扫描后的结果报文发送给本地代理;
步骤5、本地代理收到结果报文,根据map映射表的映射关系,将结果报文的本地IP地址还原,并封装结果报文,通过L2TP隧道发送给公共代理;
步骤6、公共代理收到封装的结果报文后,将其L2TP隧道报头拆除,露出内层原始的结果报文,并转发给评估工具,评估工具得到扫描结果报文进行分析,得到资产的安全分析结果。
进一步地,所述步骤1进一步具体为:
步骤11、业务平台的本地代理向SOC平台的公共代理发起L2TP隧道建立请求,进行信令报文交互协商成功后建立L2TP隧道;
步骤12、通过心跳机制来验证L2TP隧道存在。
进一步地,所述本地代理IP地址为通过L2TP隧道后拨号获得的唯一地址。
本发明要解决的技术问题之二,在于提供一种私网资产的远程安全评估装置,使得远程评估可行,大大提高了评估效率以及降低了评估成本。
本发明之二是这样实现的:一种私网资产的远程安全评估装置,包括如下模块:
隧道组建模块,建立SOC平台的公共代理与业务平台的本地代理之间的L2TP隧道;
发送模块,SOC平台进行安全评估任务时,设定扫描资产的私网IP地址及其关联的本地代理IP地址,之后将评估工具的网关配置为公共代理地址,将公共代理的网卡设置为混杂模式,捕获到评估工具中扫描工具的原始扫描报文,封装该原始扫描报文,通过L2TP隧道发送给本地代理;
业务接收处理模块,本地代理接收封装后的原始扫描报文,将封装的原始扫描报文中的L2TP隧道报头拆除,变为原始扫描报文,并将该原始扫描报文的源IP地址修改为本地IP,同时建立map映射表,并记录下该映射关系,之后将修改的原始报文发送给指定的被扫描的资产;
扫描模块,被扫描的资产根据扫描内容进行响应,将扫描后的结果报文发送给本地代理;
回送模块,本地代理收到结果报文,根据map映射表的映射关系,将结果报文的本地IP地址还原,并封装结果报文,通过L2TP隧道发送给公共代理;
评估模块,公共代理收到封装的结果报文后,将其L2TP隧道报头拆除,露出内层原始的结果报文,并转发给评估工具,评估工具得到扫描结果报文进行分析,得到资产的安全分析结果。
进一步地,所述隧道组建模块进一步具体为:
隧道组件单元,业务平台的本地代理向SOC平台的公共代理发起L2TP隧道建立请求,进行信令报文交互协商成功后建立L2TP隧道;
隧道保活单元,通过心跳机制来验证L2TP隧道存在。
进一步地,所述本地代理IP地址为通过L2TP隧道后拨号获得的唯一地址。
本发明具有如下优点:本发明一种私网资产的远程安全评估方法及装置,有效的解决了防火墙NAT后不可达资产的安全风险评估,并且本发明不改变现网的组网架构,大大降低了部署的风险及成本,远程的评估的实现使得评估成本大大的降低,而且提高了评估的速度。
附图说明
下面参照附图结合实施例对本发明作进一步的说明。
图1为本发明方法执行流程图。
图2a为本发明L2TP隧道协商过程示意一图。
图2b为本发明L2TP隧道协商过程示意二图。
图3为本发明L2TP隧道保活机制示意图。
具体实施方式
如图1所示,本发明私网资产的远程安全评估方法,包括如下步骤:
步骤1、建立SOC平台的公共代理与业务平台的本地代理之间的L2TP隧道(其中L2TP即为Layer2Tunneling Protocol,第二层隧道协议),业务平台的本地代理向SOC平台的公共代理发起L2TP隧道建立请求,进行信令报文交互协商成功后建立L2TP隧道;通过心跳机制来验证L2TP隧道存在;
步骤2、SOC平台进行安全评估任务时,设定扫描资产的私网IP地址及其关联的本地代理IP地址,所述本地代理IP地址为通过L2TP隧道后拨号获得的唯一地址,之后将评估工具的网关配置为公共代理地址,将公共代理的网卡设置为混杂模式,捕获到评估工具中扫描工具的原始扫描报文,封装该原始扫描报文,通过L2TP隧道发送给本地代理;
步骤3、本地代理接收封装后的原始扫描报文,将封装的原始扫描报文中的L2TP隧道报头拆除,变为原始扫描报文,并将该原始扫描报文的源IP地址修改为本地IP,同时建立map映射表,并记录下该映射关系,之后将修改的原始报文发送给指定的被扫描的资产,其中根据设定扫描资产的私网IP地址找到被扫描的资产;
步骤4、被扫描的资产根据扫描内容进行响应,将扫描后的结果报文发送给本地代理;
步骤5、本地代理收到结果报文,根据map映射表的映射关系,将结果报文的本地IP地址还原,并封装结果报文,通过L2TP隧道发送给公共代理;
步骤6、公共代理收到封装的结果报文后,将其L2TP隧道报头拆除,露出内层原始的结果报文,并转发给评估工具,评估工具得到扫描结果报文进行分析,得到资产的安全分析结果。
本发明私网资产的远程安全评估装置,包括如下模块:
隧道组建模块,建立SOC平台的公共代理与业务平台的本地代理之间的L2TP隧道进一步具体为:
隧道组件单元,业务平台的本地代理向SOC平台的公共代理发起L2TP隧道建立请求,进行信令报文交互协商成功后建立L2TP隧道;
隧道保活单元,通过心跳机制来验证L2TP隧道存在;
发送模块,SOC平台进行安全评估任务时,设定扫描资产的私网IP地址及其关联的本地代理IP地址,所述本地代理IP地址为通过L2TP隧道后拨号获得的唯一地址,之后将评估工具的网关配置为公共代理地址,将公共代理的网卡设置为混杂模式,捕获到评估工具中扫描工具的原始扫描报文,封装该原始扫描报文,通过L2TP隧道发送给本地代理;
业务接收处理模块,本地代理接收封装后的原始扫描报文,将封装的原始扫描报文中的L2TP隧道报头拆除,变为原始扫描报文,并将该原始扫描报文的源IP地址修改为本地IP,同时建立map映射表,并记录下该映射关系,之后将修改的原始报文发送给指定的被扫描的资产,其中根据设定扫描资产的私网IP地址找到被扫描的资产;
扫描模块,被扫描的资产根据扫描内容进行响应,将扫描后的结果报文发送给本地代理;
回送模块,本地代理收到结果报文,根据map映射表的映射关系,将结果报文的本地IP地址还原,并封装结果报文,通过L2TP隧道发送给公共代理;
评估模块,公共代理收到封装的结果报文后,将其L2TP隧道报头拆除,露出内层原始的结果报文,并转发给评估工具,评估工具得到扫描结果报文进行分析,得到资产的安全分析结果。
上述映射表里面存储真实的事件五元组与私网代理转换后的五元组对应关系,即:
| 源IP地址 | 真实源端口 | 目的IP地址 | 目的端口 | 协议 |
VS
| 本地IP地址 | 随机端口 | 目的IP地址 | 目的端口 | 协议 |
其中目的IP地址即为资产在私网中的具体的IP地址。
所有的私网远程评估工作都依赖于L2TP隧道,因此首先是确保隧道的建立;业务平台的事先向SOC平台外网防火墙发起L2TP隧道建立请求,进行信令报文交互协商成功后建立L2TP隧道,如图2a及图2b所示,其中LNS是服务器(即为SOC平台),LAC是隧道的发起人(即为业务平台),SCCRQ(Start-Control-Connection-Request,打开控制连接请求,SCCRP(Start-Control-Connection-Reply),启动控制连接的答复;SCCCN(Start-Control-connection-Connected),启动控制连接;ICRQ(Incoming-Call-Request)会话请求;ICRP(Incoming-Call-Reply)会话答复;ICCN(Incoming-Call-Connected)会话连接,通过这些报文的交互确定L2TP隧道的建立,在建立完成之后可以通过心跳机制来验证L2TP隧道存在,即需要定时发送与对端的维护报文,流程如图3所示,LNS或LAC发送Hello报文,此时LAC或LNS接受到Hello报文后发送确认报文(即ZLB报文)进行隧道保活。
本发明具有如下优点:本发明一种私网资产的远程安全评估方法及装置,有效的解决了防火墙NAT后不可达资产的安全风险评估,并且本发明不改变现网的组网架构,大大降低了部署的风险及成本,远程的评估的实现使得评估成本大大的降低,而且提高了评估的速度。
虽然以上描述了本发明的具体实施方式,但是熟悉本技术领域的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。
Claims (6)
1.一种私网资产的远程安全评估方法,其特征在于:包括如下步骤:
步骤1、建立SOC平台的公共代理与业务平台的本地代理之间的L2TP隧道;
步骤2、SOC平台进行安全评估任务时,设定扫描资产的私网IP地址及其关联的本地代理IP地址,之后将评估工具的网关配置为公共代理地址,将公共代理的网卡设置为混杂模式,捕获到评估工具中扫描工具的原始扫描报文,封装该原始扫描报文,通过L2TP隧道发送给本地代理;
步骤3、本地代理接收封装后的原始扫描报文,将封装的原始扫描报文中的L2TP隧道报头拆除,变为原始扫描报文,并将该原始扫描报文的源IP地址修改为本地IP,同时建立map映射表,并记录下该映射关系,之后将修改的原始报文发送给指定的被扫描的资产;
步骤4、被扫描的资产根据扫描内容进行响应,将扫描后的结果报文发送给本地代理;
步骤5、本地代理收到结果报文,根据map映射表的映射关系,将结果报文的本地IP地址还原,并封装结果报文,通过L2TP隧道发送给公共代理;
步骤6、公共代理收到封装的结果报文后,将其L2TP隧道报头拆除,露出内层原始的结果报文,并转发给评估工具,评估工具得到扫描结果报文进行分析,得到资产的安全分析结果。
2.根据权利要求1所述的一种私网资产的远程安全评估方法,其特征在于:所述步骤1进一步具体为:
步骤11、业务平台的本地代理向SOC平台的公共代理发起L2TP隧道建立请求,进行信令报文交互协商成功后建立L2TP隧道;
步骤12、通过心跳机制来验证L2TP隧道存在。
3.根据权利要求1所述的一种私网资产的远程安全评估方法,其特征在于:所述本地代理IP地址为通过L2TP隧道后拨号获得的唯一地址。
4.一种私网资产的远程安全评估装置,其特征在于:包括如下模块:
隧道组建模块,建立SOC平台的公共代理与业务平台的本地代理之间的L2TP隧道;
发送模块,SOC平台进行安全评估任务时,设定扫描资产的私网IP地址及其关联的本地代理IP地址,之后将评估工具的网关配置为公共代理地址,将公共代理的网卡设置为混杂模式,捕获到评估工具中扫描工具的原始扫描报文,封装该原始扫描报文,通过L2TP隧道发送给本地代理;
业务接收处理模块,本地代理接收封装后的原始扫描报文,将封装的原始扫描报文中的L2TP隧道报头拆除,变为原始扫描报文,并将该原始扫描报文的源IP地址修改为本地IP,同时建立map映射表,并记录下该映射关系,之后将修改的原始报文发送给指定的被扫描的资产;
扫描模块,被扫描的资产根据扫描内容进行响应,将扫描后的结果报文发送给本地代理;
回送模块,本地代理收到结果报文,根据map映射表的映射关系,将结果报文的本地IP地址还原,并封装结果报文,通过L2TP隧道发送给公共代理;
评估模块,公共代理收到封装的结果报文后,将其L2TP隧道报头拆除,露出内层原始的结果报文,并转发给评估工具,评估工具得到扫描结果报文进行分析,得到资产的安全分析结果。
5.根据权利要求4所述的一种私网资产的远程安全评估装置,其特征在于:所述隧道组建模块进一步具体为:
隧道组件单元,业务平台的本地代理向SOC平台的公共代理发起L2TP隧道建立请求,进行信令报文交互协商成功后建立L2TP隧道;
隧道保活单元,通过心跳机制来验证L2TP隧道存在。
6.根据权利要求4所述的一种私网资产的远程安全评估装置,其特征在于:所述本地代理IP地址为通过L2TP隧道后拨号获得的唯一地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410393627.8A CN104243261B (zh) | 2014-08-12 | 2014-08-12 | 一种私网资产的远程安全评估方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410393627.8A CN104243261B (zh) | 2014-08-12 | 2014-08-12 | 一种私网资产的远程安全评估方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104243261A true CN104243261A (zh) | 2014-12-24 |
| CN104243261B CN104243261B (zh) | 2018-05-01 |
Family
ID=52230655
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410393627.8A Active CN104243261B (zh) | 2014-08-12 | 2014-08-12 | 一种私网资产的远程安全评估方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104243261B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534172A (zh) * | 2016-12-07 | 2017-03-22 | 北京数字观星科技有限公司 | 一种内网远程扫描系统及其扫描内网的方法 |
| CN109657962A (zh) * | 2018-12-13 | 2019-04-19 | 洛阳博得天策网络科技有限公司 | 一种品牌的声量资产的评估方法及系统 |
| CN115296917A (zh) * | 2022-08-09 | 2022-11-04 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10111493A1 (de) * | 2001-03-09 | 2002-09-19 | Siemens Ag | L2TP-Reconnection-Handling durch Verbindungsserver TIP |
| JP2003244188A (ja) * | 2002-02-21 | 2003-08-29 | Nippon Telegr & Teleph Corp <Ntt> | トンネル通信方法 |
| CN102447752A (zh) * | 2012-02-09 | 2012-05-09 | 杭州华三通信技术有限公司 | 基于二层隧道协议的业务访问方法、系统和装置 |
| CN102571524A (zh) * | 2012-02-10 | 2012-07-11 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
| CN102571814A (zh) * | 2012-02-10 | 2012-07-11 | 浙江宇视科技有限公司 | 一种ip监控系统中穿越隔离设备的方法及代理设备 |
-
2014
- 2014-08-12 CN CN201410393627.8A patent/CN104243261B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10111493A1 (de) * | 2001-03-09 | 2002-09-19 | Siemens Ag | L2TP-Reconnection-Handling durch Verbindungsserver TIP |
| JP2003244188A (ja) * | 2002-02-21 | 2003-08-29 | Nippon Telegr & Teleph Corp <Ntt> | トンネル通信方法 |
| CN102447752A (zh) * | 2012-02-09 | 2012-05-09 | 杭州华三通信技术有限公司 | 基于二层隧道协议的业务访问方法、系统和装置 |
| CN102571524A (zh) * | 2012-02-10 | 2012-07-11 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
| CN102571814A (zh) * | 2012-02-10 | 2012-07-11 | 浙江宇视科技有限公司 | 一种ip监控系统中穿越隔离设备的方法及代理设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534172A (zh) * | 2016-12-07 | 2017-03-22 | 北京数字观星科技有限公司 | 一种内网远程扫描系统及其扫描内网的方法 |
| CN109657962A (zh) * | 2018-12-13 | 2019-04-19 | 洛阳博得天策网络科技有限公司 | 一种品牌的声量资产的评估方法及系统 |
| CN115296917A (zh) * | 2022-08-09 | 2022-11-04 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
| CN115296917B (zh) * | 2022-08-09 | 2023-07-07 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104243261B (zh) | 2018-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111130931B (zh) | 一种违规外联设备的检测方法及装置 | |
| CN102325145B (zh) | 一种对双栈用户进行访问控制的方法和设备 | |
| US8867553B2 (en) | Performing interactive connectivity checks in a mobility environment | |
| CN112019571B (zh) | 一种vpn连接实现方法和系统 | |
| CN106376003A (zh) | 检测无线局域网连接及无线局域网数据发送方法及其装置 | |
| CN103957287A (zh) | 一种基于nat穿透适配器的物联网设备p2p连接方法 | |
| US11146664B2 (en) | Method for remote vehicle diagnostics and device | |
| CN104243261A (zh) | 一种私网资产的远程安全评估方法 | |
| CN103916492B (zh) | 一种网络设备访问控制方法及装置 | |
| CN102055816A (zh) | 一种通信方法、业务服务器、中间设备、终端及通信系统 | |
| CN108965036B (zh) | 配置跨公网设备互访方法、系统、服务器及存储介质 | |
| CN106534172A (zh) | 一种内网远程扫描系统及其扫描内网的方法 | |
| EP2675117A1 (en) | Routing method and device for host in multi-homing site | |
| CN103873826A (zh) | 媒体流发送控制方法及装置 | |
| CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
| CN102638472B (zh) | 一种Portal认证方法和设备 | |
| CN110474814B (zh) | 电力局域网故障诊断方法、装置 | |
| CN106878259A (zh) | 一种报文转发方法及装置 | |
| CN105897909A (zh) | 服务器防护设备在旁路模式下的web服务监控方法 | |
| CN102137172B (zh) | 一种dns服务器访问方法及一种访问设备 | |
| CN104660728B (zh) | 基于智能家居控制系统的nat穿透方法 | |
| Syed et al. | Analysis of Dynamic Host Control Protocol Implementation to Assess DoS Attacks | |
| US10320743B2 (en) | Method for diagnosing the availability of network subscribers in an IP-based network | |
| CN104113889B (zh) | 一种基于回传通道的连接建立的方法及装置 | |
| WO2016095751A1 (zh) | 一种域名解析方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 350000 12, 89 Avenue, Wufeng street, Gulou District, Fuzhou, Fujian. Patentee after: China Electric fufu Mdt InfoTech Ltd Address before: 350000 12, 89 Avenue, Wufeng street, Gulou District, Fuzhou, Fujian. Patentee before: Fujian Fushitong Information Software Co.,Ltd. |