IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁網(wǎng)絡(luò)安全病毒防治 → Catalyst接入層交換機(jī)完勝蠕蟲病毒

Catalyst接入層交換機(jī)完勝蠕蟲病毒

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

相信大家對蠕蟲病毒都有一定的了解,其會對網(wǎng)絡(luò)造成巨大的危害,同時嚴(yán)重影響用戶的使用,這里我們主要分析了接入層交換機(jī)防止蠕蟲病毒的一些方法。互聯(lián)網(wǎng)蠕蟲的泛濫在最近幾年造成了巨大的損失,讓很多服務(wù)運(yùn)營商和企業(yè)網(wǎng)絡(luò)的管理員甚為頭疼的不僅是其不斷的發(fā)展變種,而且發(fā)作造成的損害也越來越嚴(yán)重。盡管蠕蟲本身通常并不破壞任何的數(shù)據(jù),但它所帶來的直接和間接的破壞使得網(wǎng)絡(luò)和系統(tǒng)擁塞。

受感染的端系統(tǒng)的計算資源會受到嚴(yán)重影響,而病毒的傳播則消耗大量的鏈路帶寬,更可怕的是網(wǎng)絡(luò)基礎(chǔ)設(shè)備受到影響而造成網(wǎng)絡(luò)的不穩(wěn)定甚至癱瘓。以SQL Slammer為例,發(fā)生感染傳播高峰時造成的平均包丟失率為20%,網(wǎng)絡(luò)的不穩(wěn)定引起了銀行ATM自動提款機(jī)不能工作,航空公司的售票系統(tǒng)癱瘓,僅僅兩天的時間,就有30萬臺主機(jī)感染了SQL Slammer,造成的損失達(dá)數(shù)十億美元。

今天的企業(yè)越來越多地把關(guān)鍵業(yè)務(wù)應(yīng)用、語音、視頻等新型應(yīng)用融合到IP網(wǎng)絡(luò)上,一個安全、可靠的網(wǎng)絡(luò)是企業(yè)業(yè)務(wù)成功的關(guān)鍵。而企業(yè)網(wǎng)絡(luò)的內(nèi)部和外部的界限越來越模糊,用戶的移動性越來越強(qiáng),過去我們認(rèn)為是安全的內(nèi)部局域網(wǎng)已經(jīng)潛伏著威脅。我們很難保證病毒不會被帶入我們的企業(yè)網(wǎng)絡(luò),而局域網(wǎng)的廣泛分布和高速連接,也使其很可能成為蠕蟲快速泛濫的溫床。如何應(yīng)對現(xiàn)在新的網(wǎng)絡(luò)安全環(huán)境呢?如何在我們的局域網(wǎng)上防范蠕蟲,及時地發(fā)現(xiàn)、跟蹤和阻止其泛濫,是每個網(wǎng)絡(luò)管理人員所思考的問題。
也許這是一個非常大的命題,事實上也確實需要一個系統(tǒng)的、協(xié)同的安全策略才能實現(xiàn)。從網(wǎng)絡(luò)到主機(jī),從核心層到分布層、接入層,我們要采取全面的企業(yè)安全策略來保護(hù)整個網(wǎng)絡(luò)和其所連接的系統(tǒng),另外即使當(dāng)蠕蟲發(fā)生時我們要有措施將其影響盡量緩解,并保護(hù)我們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。本文將介紹Cisco Catalyst交換機(jī)上的一個獨特解決方案,以一種非常經(jīng)濟(jì)、有效和可擴(kuò)展的方式來防范蠕蟲病毒的危害。

首先我們要了解蠕蟲的異常行為,并有手段來盡早發(fā)現(xiàn)其異常行為。發(fā)現(xiàn)可疑行為后要能很快定位其來源,即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的接入層交換機(jī)和端口號等等。要搜集到證據(jù)并作出判斷,如果確是蠕蟲病毒,就要及時做出響應(yīng)的動作,例如關(guān)閉端口,對被感染機(jī)器進(jìn)行處理。

但是我們知道,接入層交換機(jī)遍布于每個配線間,為企業(yè)的桌面系統(tǒng)提供邊緣接入,由于成本和管理的原因,我們不可能在每個接入層交換機(jī)旁都放置一臺IDS設(shè)備。如果是在分布層或核心層部署IDS,對于匯聚了成百上千個百兆/千兆以太網(wǎng)流量的分布層或核心層來說,工作在第7層的軟件實現(xiàn)的IDS無法處理海量的數(shù)據(jù),所以不加選擇地對所有流量都進(jìn)行監(jiān)控是不實際的。怎么能找到一種有的放矢、行之有效而又經(jīng)濟(jì)擴(kuò)展的解決方案呢?利用Catalyst接入層交換機(jī)所集成的安全特性和Netflow,就可以做到!

發(fā)現(xiàn)可疑流量。 我們利用Cisco Netflow所采集和輸出的網(wǎng)絡(luò)流量的統(tǒng)計信息,可以發(fā)現(xiàn)單個主機(jī)發(fā)出超出正常數(shù)量的連接請求,這種不正常的大數(shù)量的流往往是蠕蟲爆發(fā)或網(wǎng)絡(luò)濫用的跡象。因為蠕蟲的特性就是在發(fā)作時會掃描大量隨機(jī)IP地址來尋找可能的目標(biāo),會產(chǎn)生大量的TCP或ICMP流。流記錄里其實沒有數(shù)據(jù)包的載荷(payload)信息。這是Netflow和傳統(tǒng)IDS的一個重要區(qū)別,一個流記錄里不包含高層信息,這樣的好處則是可以高速地以硬件方式處理,適合于繁忙的高速局域網(wǎng)環(huán)境。通常部署在核心層和分布層的Catalyst 4500和接入層交換機(jī)都支持基于硬件的Netflow。所以Netflow不能對數(shù)據(jù)包做出深層分析,但是已經(jīng)有足夠的信息來發(fā)現(xiàn)可疑流量,而且不受"0日"的局限。如果分析和利用得當(dāng),Netflow記錄非常適用于早期的蠕蟲或其他網(wǎng)絡(luò)濫用行為的檢測。了解流量模式的基線非常重要。例如,一個用戶同時有50-100個活動的連接是正常的,但是如果一個用戶發(fā)起大量的(例如1000個)活動的流就是非正常的了。

追蹤可疑的源頭。識別出可疑流量后,同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動的環(huán)境中,用戶可以在整個園區(qū)網(wǎng)中隨意漫游,僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒,否則檢測出的源IP地址無助于我們追查可疑源頭。另外我們不僅要定位到連接的端口,還要定位登錄的用戶名。

搜集可疑流量。一旦可疑流量被監(jiān)測到,我們需要捕獲這些數(shù)據(jù)包來判斷這個不正常的流量到底是不是發(fā)生了新的蠕蟲攻擊。正如上面所述,Netflow并不對數(shù)據(jù)包做深層分析,我們需要網(wǎng)絡(luò)分析工具或入侵檢測設(shè)備來做進(jìn)一步的判斷。但是,如何能方便快捷地捕獲可疑流量并導(dǎo)向網(wǎng)絡(luò)分析工具呢?速度是很重要的,否則你就錯過了把蠕蟲扼殺在早期的機(jī)會。除了要很快定位可疑設(shè)備的物理位置,還要有手段能盡快搜集到證據(jù)。我們不可能在每個接入層交換機(jī)旁放置網(wǎng)絡(luò)分析或入侵檢測設(shè)備,也不可能在發(fā)現(xiàn)可疑流量時扛著分析儀跑去配線間。有了上面的分析,下面我們就看如何利用Catalyst的功能來滿足這些需要!

檢測可疑流量Cat6500 和 Catalyst 4500? ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能,采集流經(jīng)網(wǎng)絡(luò)的流量信息。這些信息采集和統(tǒng)計都通過硬件ASCI完成,所以對系統(tǒng)性能沒有影響。 Catalyst 4500 Sup V-10GE缺省就帶了Netflow卡,所以不需增加投資。

追蹤可疑源頭,Catalyst 集成的安全特性提供了基于身份的網(wǎng)絡(luò)服務(wù)(IBNS),以及DHCP監(jiān)聽、源IP防護(hù)、和動態(tài)ARP檢測等功能。這些功能提供了用戶的IP地址和MAC地址、物理端口的綁定信息,同時防范IP地址假冒。這點非常重要,如果不能防范IP地址假冒,那么Netflow搜集到的信息就沒有意義了。? 用戶一旦登錄網(wǎng)絡(luò),就可獲得這些信息。結(jié)合ACS,還可以定位用戶登錄的用戶名。在Netflow 收集器(Netflow Collector)上編寫一個腳本文件,當(dāng)發(fā)現(xiàn)可疑流量時,就能以email的方式,把相關(guān)信息發(fā)送給網(wǎng)絡(luò)管理員。

在通知email里,報告了有不正常網(wǎng)絡(luò)活動的用戶CITG, 所屬組是CITG-1(這是802.1x登錄所用的)。接入層交換機(jī)的IP地址是10.252.240.10,物理接口是FastEthernet4/1,另外還有客戶端IP地址和MAC地址 ,以及其在5分鐘內(nèi)(這個時間是腳本所定義的)發(fā)出的flow和packet數(shù)量。掌握了這些信息后,網(wǎng)管員就可以馬上采取以下行動了:

通過遠(yuǎn)程SPAN捕獲可疑流量。Catalyst接入層交換機(jī)上所支持的遠(yuǎn)程端口鏡像功能可以將流量捕獲鏡像到一個遠(yuǎn)程交換機(jī)上,例如將接入層交換機(jī)上某個端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個端口,只需非常簡單的幾條命令即可完成。流量被捕獲到網(wǎng)絡(luò)分析或入侵檢測設(shè)備(例如Cat6500集成的網(wǎng)絡(luò)分析模塊NAM或IDS模塊),作進(jìn)一步的分析和做出相應(yīng)的動作。

關(guān)鍵詞標(biāo)簽:Catalyst,接入層,交換

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 殺毒36計之手動清除PcShare木馬_PcShare木馬清除方法 殺毒36計之手動清除PcShare木馬_PcShare木馬清除方法 注冊表被修改的原因及解決辦法 注冊表被修改的原因及解決辦法 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key

相關(guān)下載

    人氣排行 卡巴斯基2017激活教程_卡巴斯基2017用授權(quán)文件KEY激活的方法(完美激活) 解決alexa.exe自動彈出網(wǎng)頁病毒 卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權(quán)許可文件Key comine.exe 病毒清除方法 ekrn.exe占用CPU 100%的解決方案 木馬下載者Trojan-Downloader.Win32.FakeFolder.c手工清除解決方案 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 一招搞定幾萬種木馬----→ 注冊表權(quán)限設(shè)置