了解流量模式的基线非常重要 。例如,一个用户同时有50-100个活动的连接是正常的,但是假如一个用户发起大量的(例如1000个)活动的流就是非正常的了 。
追踪可疑的源头 。识别出可疑流量后,同样重要的是追踪到源头(包括物理位置和用户ID) 。在今天的移动的环境中,用户可以在整个园区网中随意漫游,仅仅知道源IP地址是很难快速定位用户的 。而且我们还要防止IP地址假冒,否则检测出的源IP地址无助于我们追查可疑源头 。另外我们不仅要定位到连接的端口,还要定位登录的用户名 。
搜集可疑流量 。一旦可疑流量被监测到,我们需要捕捉这些数据包来判定这个不正常的流量到底是不是发生了新的蠕虫攻击 。正如上面所述,Netflow并不对数据包做深层分析,我们需要网络分析工具或入侵检测设备来做进一步的判定 。但是,如何能方便快捷地捕捉可疑流量并导向网络分析工具呢?速度是很重要的,否则你就错过了把蠕虫扼杀在早期的机会 。除了要很快定位可疑设备的物理位置,还要有手段能尽快搜集到证据 。我们不可能在每个接入交换机旁放置网络分析或入侵检测设备,也不可能在发现可疑流量时扛着分析仪跑去配线间 。
有了上面的分析,下面我们就看如何利用Catalyst的功能来满足这些需要!
检测可疑流量. Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能,采集流经网络的流量信息 。这些信息采集和统计都通过硬件ASCI完成,所以对系统性能没有影响 。Catalyst 4500 Sup V-10GE缺省就带了Netflow卡,所以不需增加投资 。
追踪可疑源头 。Catalyst 集成的安全特性提供了基于身份的网络服务(IBNS),以及DHCP监听、源IP防护、和动态ARP检测等功能 。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息,同时防范IP地址假冒 。这点非常重要,假如不能防范IP地址假冒,那么Netflow搜集到的信息就没有意义了 。用户一旦登录网络,就可获得这些信息 。结合ACS,还可以定位用户登录的用户名 。在Netflow 收集器(Netflow Collector)上编写一个脚本文件,当发现可疑流量时,就能以email的方式,把相关信息发送给网络治理员 。
在通知email里,报告了有不正常网络活动的用户CITG, 所属组是CITG-1(这是802.1x登录所用的) 。接入层交换机的IP地址是10.252.240.10,物理接口是FastEthernet4/1,另外还有客户端IP地址和MAC地址,以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量 。
把握了这些信息后,网管员就可以马上采取以下行动了:
通过远程SPAN捕捉可疑流量 。Catalyst交换机上所支持的远程端口镜像功能可以将流量捕捉镜像到一个远程交换机上,例如将接入层交换机上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口,只需非常简单的几条命令即可完成 。流量被捕捉到网络分析或入侵检测设备(例如Cat6500集成的网络分析模块NAM或IDS模块),作进一步的分析和做出相应的动作 。
整个过程需要多长时间呢?对于一个有经验的网管员来说,在蠕虫发生的5分钟内就能完成,而且他不需要离开他的座位!
【利用交换机防范蠕虫病毒的入侵】我们可以看到,这个解决方案结合了Catalyst上集成的多种安全特性功能,从扩展的802.1x,到DHCP 监听、动态ARP检测、源IP防护和Netflow 。这些安全特性的综合使用,为我们提供了一个在企业局域网上有效防范蠕虫攻击的解决方案,这个方案不需更多额外投资,因为利用的是集成在Catalyst 上的IOS中的功能特性,也带给我们一个思考:如何利用网络来保护网络?这些我们在选择交换机时可能忽略的特性,会带给我们意想不到的行之有效的安全解决方案!
推荐阅读
- 华为Quidway S8016骨干交换机在银行中的应用
- Cisco Catalyst 4500交换机所支持的线路卡和模块
- 决战在边缘之思科Catalyst系列交换机
- 组图 用户高速接入 桌面千兆交换机导购
- 如何利用Catalyst交换机处理蠕虫病毒的入侵
- 组图 浅谈骨干交换机和桌面交换机的区别
- 上海贝尔阿尔卡特7450 ESS以太网业务交换机
- 大容量 上海贝尔阿尔卡特8版GSM移动交换机
- 上海贝尔阿尔卡特数字程控用户交换机OmniPCX Office
- 上海贝尔阿尔卡特OmniPCX Enterprise数字程控用户交换机