如何定位访客WiFi网络终端身份？ | 总第193周

‍‍

0x1本周话题

话题：如何定位一直不断访问不同钓鱼网站的WiFi终端？出于安全隔离要求，公司访客WiFi为独立区域且专用一条电信拨号线路出网访问，今天某个终端一直在访问钓鱼网站，无线没有审计设备，网络拓扑如下：终端-->AP-->POE SW-->无线路由器（旁挂arbua无线控制器）。

A1：可以试下如下方法：

1、流量分析是否有身份信息来定位；

2、通过MAC地址判断终端设备类型，通过信号判断位置范围；

3、直接封设备或者通过设备下发提醒功能。

A2：上准入了没？这个问题我们以前也遇到过，后面是通过上设备解决的，无设备基本无解。这种建议还是上套准入来管起来，非标设备通过短信认证来做接入。

Q：就密码验证，给需要访问互联网的终端使用。访客网络是纯上网使用的，主要就是为了外来人员比较容易上网，没有连内网。

A3：那也得搞一套认证体系啊，再不至于搞个短信认证或者mac认证。你把出口换个行管设备做出口，可以直接定位终端mac地址的，哪怕换个普通防火墙做出口也行，路由器这个设备一般用作内网边界转发，但是在其前后也是要加一个安全设备做防护的，现在企业网络不建议单纯用路由器做出口设备了，最简单的ms17010都没法防护，内网有老电脑的话445直接就打穿了。

早期我们有个小分支就是用的路由器，啥防护策略都没有，445直接打穿，内网直接崩溃，要不是内网VPN边界有防火墙拦着，直接波及总部。

我们访客网络现在是单纯用的一个防火墙来做的出口，和内网隔离，单独拉的一个网络给外来人员使用。

A4：出口路由器做个流量镜像，拿笔记本和电脑装流量分析软件接镜像口，抓一段时间流量包试试，或者在交换机上做。

Q：你们这个拓扑没有相关安全设备？是如何检测到访问不同钓鱼网站的？

A5：WiFi终端一直不断访问不同钓鱼网站，安全DNS能力吧，另外全流量设备就能检测到。

Q：按照上面网络拓扑，安全dns是怎么部署的呢？

A6：访客WiFi已经做了安全隔离，全流量不太可取。安全DNS可在dhcp那边配置，但这有个问题就是，还得需要设备支持dns代理，要不然自己配置dns的时候就失效了。

A7：那这样的话，就能定位到终端的mac地址和ip了，就好找用户了。

A8：访客网段，理想状态就上情报安全网关，按黑名单自动阻断，阻断黑域名加ip。

A9：不是，黑域名有可能不一样的，要是监管要求落实网络接入实名制，你没办法追踪到责任人就麻烦了。万一有人用你的WiFi干了点啥事，比如攻击xx，发布xx言论，网安追责就麻烦了。

A10：访客网络原则上能不提供就不提供，必须要提供你就必须要管好的，没预算做情报网关，最起码也要做个准入，监管的确在网络接入上面有要求的，还要做SSID隐藏。

A11：建设公共WiFi并提供上网服务，出事要自己负责的。一般政府公共WiFi的话，至少加个身份认证机制比如短信验证码，这样出事的话你能协助定位到人，你责任就比较小，日志也要留存。未整改完成之前，赶紧下线了。

我们之前搞给客户用的WiFi系统除了短信认证，日志系统还得和ga部门那边对接，同步日志过去备案。

A12：配了免费dns产品，能监控到访问哪些域名，还有钓鱼网站，我在web界面上我找日志没找到无线终端IP，就只有公网IP与目的域名，定位不到具体终端很麻烦。

A13：《未做“网络实名制”，网络服务提供者或将入刑！》

https://www.zhihu.com/tardis/bd/art/404658920?source_id=1001

《中华人民共和国刑法》第286条之1条规定“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

（一）致使违法信息大量传播的；

（二）致使用户信息泄露，造成严重后果的；

（三）致使刑事案件证据灭失，情节严重的；

（四）有其他严重情节的。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。

有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

原文始发于微信公众号（君哥的体历）：如何定位访客WiFi网络终端身份？ | 总第193周