追踪可疑源头 。Catalyst集成的安全特性提供了基于身份的网络服务(IBNS),以及DHCP监听、源IP防护、和动态ARP检测等功能 。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息,同时防范IP地址假冒 。这点非常重要,假如不能防范IP地址假冒,那么Netflow搜集到的信息就没有意义了 。用户一旦登录网络,就可获得这些信息 。结合ACS,还可以定位用户登录的用户名 。在Netflow收集器(Netflow Collector)上编写一个脚本文件,当发现可疑流量时,就能以email的方式,把相关信息发送给网络治理员 。
在通知email里,报告了有不正常网络活动的用户CITG,所属组是CITG-1(这是802.1x登录所用的) 。接入层交换机的IP地址是10.252.240.10,物理接口是FastEthernet4/1,另外还有客户端IP地址和MAC地址,以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量 。
把握了这些信息后,网管员就可以马上采取以下行动了:
通过远程SPAN捕捉可疑流量 。Catalyst交换机上所支持的远程端口镜像功能可以将流量捕捉镜像到一个远程交换机上,例如将接入层交换机上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口,只需非常简单的几条命令即可完成 。流量被捕捉到网络分析或入侵检测设备(例如Cat6500集成的网络分析模块NAM或IDS模块),作进一步的分析和做出相应的动作 。
整个过程需要多长时间呢?对于一个有经验的网管员来说,在蠕虫发生的5分钟内就能完成,而且他不需要离开他的座位!
我们可以看到,这个解决方案结合了Catalyst上集成的多种安全特性功能,从扩展的802.1x,到DHCP监听、动态ARP检测、源IP防护和Netflow 。这些安全特性的综合使用,为我们提供了一个在企业局域网上有效防范蠕虫攻击的解决方案,这个方案不需更多额外投资,因为利用的是集成在Catalyst上的IOS中的功能特性,也带给我们一个思考:如何利用网络来保护网络?这些我们在选择交换机时可能忽略的特性,会带给我们意想不到的行之有效的安全解决方案!
推荐阅读
- CISCO、HUAWEI、HARBOUR交换机广播抑制功能的测试报告
- 交换机故障的10种类型判断总结
- NETGEAR高性能交换机应用中国科技大学案例
- 交换机数据阻塞引起网络故障案例分析
- ZXR10 3906三层全光口智能以太网交换机
- ZXR10 3952三层智能以太网交换机
- ZXR10 3928三层智能以太网交换机
- ZXR10 3206S全光汇聚交换机
- ZXR10 3206二层全光口智能以太网交换机
- 如何利用外商直接投资