dfgortal认证过程中,终端是否也有访问域名的流量
- 0关注
- 0收藏,24浏览
问题描述:
dfgortal认证过程中,终端是否也有访问域名的流量
组网及组网描述:
aVG.163.com/Topic/Detail/ 9721251
aVG.163.com/Topic/Detail/ 9721259
aVG.163.com/Topic/Detail/ 9721243
aVG.163.com/Topic/Detail/ 9721263
aVG.163.com/Topic/Detail/ 9721260
aVG.163.com/Topic/Detail/ 9721262
aVG.163.com/Topic/Detail/ 9721230
aVG.163.com/Topic/Detail/ 9721258
aVG.163.com/Topic/Detail/ 9721231
aVG.163.com/Topic/Detail/ 9721257
aVG.163.com/Topic/Detail/ 9721236
aVG.163.com/Topic/Detail/ 9721256
aVG.163.com/Topic/Detail/ 9721241
aVG.163.com/Topic/Detail/ 9721261
aVG.163.com/Topic/Detail/ 9721265
aVG.163.com/Topic/Detail/ 9721174
aVG.163.com/Topic/Detail/ 9721185
aVG.163.com/Topic/Detail/ 9721181
aVG.163.com/Topic/Detail/ 9721210
aVG.163.com/Topic/Detail/ 9721191
aVG.163.com/Topic/Detail/ 9721205
aVG.163.com/Topic/Detail/ 9721187
aVG.163.com/Topic/Detail/ 9721190
aVG.163.com/Topic/Detail/ 9721188
aVG.163.com/Topic/Detail/ 9721178
aVG.163.com/Topic/Detail/ 9721196
aVG.163.com/Topic/Detail/ 9721177
aVG.163.com/Topic/Detail/ 9721201
aVG.163.com/Topic/Detail/ 9721123
aVG.163.com/Topic/Detail/ 9721156
aVG.163.com/Topic/Detail/ 9721119
aVG.163.com/Topic/Detail/ 9721144
aVG.163.com/Topic/Detail/ 9721158
aVG.163.com/Topic/Detail/ 9721141
aVG.163.com/Topic/Detail/ 9721162
aVG.163.com/Topic/Detail/ 9721170
aVG.163.com/Topic/Detail/ 9721139
aVG.163.com/Topic/Detail/ 9721163
aVG.163.com/Topic/Detail/ 9721142
aVG.163.com/Topic/Detail/ 9721168
aVG.163.com/Topic/Detail/ 9721160
aVG.163.com/Topic/Detail/ 9721125
aVG.163.com/Topic/Detail/ 9721161
aVG.163.com/Topic/Detail/ 9721121
aVG.163.com/Topic/Detail/ 9721159
aVG.163.com/Topic/Detail/ 9721147
aVG.163.com/Topic/Detail/ 9721157
aVG.163.com/Topic/Detail/ 9721169
aVG.163.com/Topic/Detail/ 9721140
aVG.163.com/Topic/Detail/ 9721167
aVG.163.com/Topic/Detail/ 9721122
aVG.163.com/Topic/Detail/ 9721166
aVG.163.com/Topic/Detail/ 9721120
portal认证,会的
在Portal认证过程中,终端未认证成功时:
会向DNS服务器发送域名解析请求:终端访问任何域名时(如输入网址),会先向配置的DNS服务器(如8.8.8.8、114.114.114.114)发起DNS查询。
DNS请求通常能成功:DNS查询使用UDP协议,设备通常不会拦截此类流量(除非配置了严格过滤)。因此终端能收到DNS响应。
后续HTTP/HTTPS流量被拦截:终端尝试访问解析后的IP时,设备会拦截HTTP/HTTPS请求,并重定向到Portal认证页面。
木马检测通报的可能原因:若终端感染木马,其在未认证状态下仍会尝试连接外部域名(如C&C服务器),DNS请求会被外部检测到,但HTTP流量被设备阻断,导致iMC无认证日志。
2. 如何避免此问题?
方案:将DNS设置为Portal设备地址 + 启用DNS代理
配置步骤:
1. 设备侧配置:
在Portal设备(交换机/AC)上配置DNS代理
dns proxy enable
添加DNS服务器(如运营商DNS)
dns server 114.114.114.114
2. 修改终端DNS配置:
终端DNS服务器地址设置为Portal设备的IP(如交换机网关地址192.168.3.1)。
3. Portal设备配置免认证规则(可选但推荐):
放通终端到Portal设备DNS端口的流量:
portal free-rule 0 source ip any destination ip 192.168.3.1 mask 255.255.255.255 udp 53
为何此方案有效?
终端DNS请求被本地代理:所有DNS查询由Portal设备代为转发,终端不直接接触外部DNS。
避免外部检测异常流量:木马的DNS请求不会直达外部DNS服务器,减少被第三方检测的风险。
符合Portal认证逻辑:
信息中明确提到(见"DNS相关配置检查"部分):
终端到DNS不通时,需配置portal free-rule放通流量,或通过设备DNS代理解决解析问题。
补充建议
终端安全加固:
结合iMC EAD(终端准入)组件,强制终端安装安全策略,拦截木马行为。
日志监控:
在设备侧开启DNS查询日志,监控异常域名请求(如display dns proxy table)。
验证配置:
使用未认证终端执行nslookup ***.***,确认解析结果由Portal设备返回(非直连外部DNS)。
注:若现场使用H3C AC/交换机,该方案已在多个局点验证有效(如信息中"某局点portal认证中需要隐藏URL"案例)。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论