思科Catalyst交換機如何防御蠕蟲困擾
下面說一下Cisco Catalyst交換機上的一個獨特解決方案,以一種非常經濟、有效和可擴展的方式來防范蠕蟲病毒的危害,這大大的節(jié)省了許多公司的損失。
讓很多服務運營商和企業(yè)網絡的管理員甚為頭疼的不僅是其不斷的發(fā)展變種
而且發(fā)作造成的損害也越來越嚴重。盡管蠕蟲本身通常并不破壞任何的數據,但它所帶來的直接和間接的破壞使得網絡和系統(tǒng)擁塞。
受感染的端系統(tǒng)的計算資源會受到嚴重影響,而病毒的傳播則消耗大量的鏈路帶寬,更可怕的是網絡基礎設備受到影響而造成網絡的不穩(wěn)定甚至癱瘓。以SQL Slammer為例,發(fā)生感染傳播高峰時造成的平均包丟失率為20%。
網絡的不穩(wěn)定引起了銀行ATM自動提款機不能工作,航空公司的售票系統(tǒng)癱瘓,僅僅兩天的時間,就有30萬臺主機感染了SQL Slammer,造成的損失達數十億美元。今天的企業(yè)越來越多地把關鍵業(yè)務應用、語音、視頻等新型應用融合到IP網絡上,一個安全、可靠的網絡是企業(yè)業(yè)務成功的關鍵。
而企業(yè)網絡的內部和外部的界限越來越模糊,用戶的移動性越來越強,過去我們認為是安全的內部局域網已經潛伏著威脅。我們很難保證病毒不會被帶入我們的企業(yè)網絡,而局域網的廣泛分布和高速連接。
也使其很可能成為蠕蟲快速泛濫的溫床。如何應對現(xiàn)在新的網絡安全環(huán)境呢?如何在我們的局域網上防范蠕蟲,及時地發(fā)現(xiàn)、跟蹤和阻止其泛濫,是每個網絡管理人員所思考的問題。
也許這是一個非常大的命題,事實上也確實需要一個系統(tǒng)的、協(xié)同的安全策略才能實現(xiàn)。從網絡到主機,從核心層到分布層、接入層,我們要采取全面的企業(yè)安全策略來保護整個網絡和其所連接的系統(tǒng)。#p#
另外即使當蠕蟲發(fā)生時我們要有措施將其影響盡量緩解
并保護我們的網絡基礎設施,保證網絡的穩(wěn)定運行。本文將介紹Cisco Catalyst交換機上的一個獨特解決方案,以一種非常經濟、有效和可擴展的方式來防范蠕蟲病毒的危害。
首先我們要了解蠕蟲的異常行為,并有手段來盡早發(fā)現(xiàn)其異常行為。發(fā)現(xiàn)可疑行為后要能很快定位其來源,即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的接入層交換機和端口號等等。要搜集到證據并作出判斷,如果確是蠕蟲病毒,就要及時做出響應的動作,例如關閉端口,對被感染機器進行處理。
但是我們知道,接入層Cisco Catalyst交換機遍布于每個配線間,為企業(yè)的桌面系統(tǒng)提供邊緣接入,由于成本和管理的原因,我們不可能在每個接入層交換機旁都放置一臺IDS設備。如果是在分布層或核心層部署IDS。
對于匯聚了成百上千個百兆/千兆以太網流量的分布層或核心層來說,工作在第7層的軟件實現(xiàn)的IDS無法處理海量的數據,所以不加選擇地對所有流量都進行監(jiān)控是不實際的。怎么能找到一種有的放矢、行之有效而又經濟擴展的解決方案呢?利用Catalyst接入層交換機所集成的安全特性和Netflow,就可以做到!
發(fā)現(xiàn)可疑流量。 我們利用Cisco Netflow所采集和輸出的網絡流量的統(tǒng)計信息,可以發(fā)現(xiàn)單個主機發(fā)出超出正常數量的連接請求,這種不正常的大數量的流往往是蠕蟲爆發(fā)或網絡濫用的跡象。
因為蠕蟲的特性就是在發(fā)作時會掃描大量隨機IP地址來尋找可能的目標,會產生大量的TCP或ICMP流。流記錄里其實沒有數據包的載荷(payload)信息。這是Netflow和傳統(tǒng)IDS的一個重要區(qū)別,一個流記錄里不包含高層信息,這樣的好處則是可以高速地以硬件方式處理,適合于繁忙的高速局域網環(huán)境。#p#
通常
部署在核心層和分布層的Catalyst 4500和接入層Cisco Catalyst交換機都支持基于硬件的Netflow。所以Netflow不能對數據包做出深層分析,但是已經有足夠的信息來發(fā)現(xiàn)可疑流量,而且不受“0日”的局限。
如果分析和利用得當,Netflow記錄非常適用于早期的蠕蟲或其他網絡濫用行為的檢測。了解流量模式的基線非常重要。例如,一個用戶同時有50-100個活動的連接是正常的,但是如果一個用戶發(fā)起大量的(例如1000個)活動的流就是非正常的了。
追蹤可疑的源頭。識別出可疑流量后,同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動的環(huán)境中,用戶可以在整個園區(qū)網中隨意漫游,僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒,否則檢測出的源IP地址無助于我們追查可疑源頭。另外我們不僅要定位到連接的端口,還要定位登錄的用戶名。
【編輯推薦】
