利用Catalyst交换机防范蠕虫病毒入侵
互联网蠕虫的泛滥在最近几年造成了巨大的损失,本文将介绍Cisco Catalyst交换机上的一个独特解决方案,以一种非常经济、有效和可扩展的方式来防范蠕虫病毒的危害。
首先我们要了解蠕虫的异常行为,并有手段来尽早发现其异常行为。发现可疑行为后要能很快定位其来源,即跟踪到其源IP地址、MAC地址、登录用户名、所连接的交换机和端口号等等。要搜集到证据并作出判断,如果确是蠕虫病毒,就要及时做出响应的动作,例如关闭端口,对被感染机器进行处理。
但是我们知道,接入交换机遍布于每个配线间,为企业的桌面系统提供边缘接入,由于成本和管理的原因,我们不可能在每个接入层交换机旁都放置一台IDS设备。如果是在分布层或核心层部署IDS,对于汇聚了成百上千个百兆/千兆以太网流量的分布层或核心层来说,工作在第7层的软件实现的IDS无法处理海量的数据,所以不加选择地对所有流量都进行监控是不实际的。
怎么能找到一种有的放矢、行之有效而又经济扩展的解决方案呢?利用Catalyst交换机所集成的安全特性和Netflow,就可以做到!
发现可疑流量。我们利用Cisco Netflow所采集和输出的网络流量的统计信息,可以发现单个主机发出超出正常数量的连接请求,这种不正常的大数量的流往往是蠕虫爆发或网络滥用的迹象。因为蠕虫的特性就是在发作时会扫描大量随机IP地址来寻找可能的目标,会产生大量的TCP或ICMP流。流记录里其实没有数据包的载荷(payload)信息。这是Netflow和传统IDS的一个重要区别,一个流记录里不包含高层信息,这样的好处则是可以高速地以硬件方式处理,适合于繁忙的高速局域网环境。通常部署在核心层和分布层的Catalyst 4500和Catalyst 6500交换机都支持基于硬件的Netflow。所以Netflow不能对数据包做出深层分析,但是已经有足够的信息来发现可疑流量,而且不受“0日”的局限。如果分析和利用得当,Netflow记录非常适用于早期的蠕虫或其他网络滥用行为的检测。
了解流量模式的基线非常重要。例如,一个用户同时有50-100个活动的连接是正常的,但是如果一个用户发起大量的(例如1000个)活动的流就是非正常的了。
追踪可疑的源头。识别出可疑流量后,同样重要的是追踪到源头(包括物理位置和用户ID)。在今天的移动的环境中,用户可以在整个园区网中随意漫游,仅仅知道源IP地址是很难快速定位用户的。而且我们还要防止IP地址假冒,否则检测出的源IP地址无助于我们追查可疑源头。另外我们不仅要定位到连接的端口,还要定位登录的用户名。
[责任编辑:editor]
最新相关文章发表评论