利用Catalyst交换机防范蠕虫病毒入侵
作者:unknown 来源:中国公众科技网 添加时间:2006-5-26 11:40:51检测可疑流量。Cat6500和Catalyst 4500(Sup IV,Sup V和Sup V–10 GE)提供了基于硬件的Netflow功能,采集流经网络的流量信息。这些信息采集和统计都通过硬件ASCI完成,所以对系统性能没有影响。Catalyst 4500 Sup V-10GE缺省就带了Netflow卡,所以不需增加投资。
追踪可疑源头。Catalyst集成的安全特性提供了基于身份的网络服务(IBNS),以及DHCP监听、源IP防护、和动态ARP检测等功能。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息,同时防范IP地址假冒。这点非常重要,如果不能防范IP地址假冒,那么Netflow搜集到的信息就没有意义了。用户一旦登录网络,就可获得这些信息。结合ACS,还可以定位用户登录的用户名。在Netflow收集器(Netflow Collector)上编写一个脚本文件,当发现可疑流量时,就能以email的方式,把相关信息发送给网络管理员。
在通知email里,报告了有不正常网络活动的用户CITG,所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.252.240.10,物理接口是FastEthernet4/1,另外还有客户端IP地址和MAC地址,以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量。
掌握了这些信息后,网管员就可以马上采取以下行动了:
通过远程SPAN捕获可疑流量。Catalyst交换机上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上,例如将接入层交换机上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口,只需非常简单的几条命令即可完成。流量被捕获到网络分析或入侵检测设备(例如Cat6500集成的网络分析模块NAM或IDS模块),作进一步的分析和做出相应的动作。
整个过程需要多长时间呢?对于一个有经验的网管员来说,在蠕虫发生的5分钟内就能完成,而且他不需要离开他的座位!
我们可以看到,这个解决方案结合了Catalyst上集成的多种安全特性功能,从扩展的802.1x,到DHCP监听、动态ARP检测、源IP防护和Netflow。这些安全特性的综合使用,为我们提供了一个在企业局域网上有效防范蠕虫攻击的解决方案,这个方案不需更多额外投资,因为利用的是集成在Catalyst上的IOS中的功能特性,也带给我们一个思考:如何利用网络来保护网络?这些我们在选择交换机时可能忽略的特性,会带给我们意想不到的行之有效的安全解决方案!
(e129)