【IT168 专稿】“利益”是目前病毒发展的驱动剂,有人想盗用网游装备,有人想“免费”用QQ服务,有人想窥探他人隐私,有人想提高网站流量,有人想迅速“抢占”桌面…… 让运营商和企业网络的管理人员头疼,不断地有发展新的变种,发作时所造成的损害也越来越严重。尽管程序代码本身通常并不破坏任何的数据,但是所带来的直接和间接的破坏,会使得网络和系统拥塞,严重地影响我们正常工作。
分析网络
面对受感染的系统的计算机资源,病毒的传播则会消耗大量的链路带宽,更可怕的是网络基础设备受到影响而造成网络的不稳定甚至瘫痪。如今的大型企业越来越多地把关键业务应用融合到IP承载网络上,相对来说,一个安全、可靠的网络是企业业务成功的关键。面对当前的企业网络的内部和外部的界限越来越模糊,用户的移动性越来越强,安全的内部局域网已经潜伏着威胁。在这样环境下,我们很难保证病毒不会被带入到企业安全网络内,由于局域网的广泛分布和高速连接,也许很可能成为快速泛滥的温床。如何应对现在新的网络安全环境呢?如何在我们的局域网上防范病毒入侵,及时地发现、跟踪和阻止其泛滥,是我们每个网络管理人员所思考的问题。
从网络到主机,从核心层到分布层、接入层,我们都要采取全方面的企业安全策略来保护整个网络和其所连接的系统。当病毒入侵所造成的后果,我们都要有相应的措施,将其影响尽量缓解,并保护我们的网络基础设施,保证网络的稳定运行。 我们以在局域网中防范蠕虫病毒为例:
首先我们要了解蠕虫的异常行为,并有相应的手段来尽早发现它异常行为。及时发现可疑行为后,要能很快速定位其来源,并跟踪到其源IP地址、MAC地址、登录用户名、所连接的交换机和端口号等等。搜集到相关的证据后,并作出相应的判断。如果确定是蠕虫病毒,就要及时做出响应的动作,例如端口隔离,对被感染机器进行处理。
我们知道接入交换机遍布于每个工作间,为企业的桌面系统提供边缘接入,由于成本和管理的原因,我们不可能在每个接入层交换机旁都放置一台IDS设备。如果是在分布层或核心层部署IDS,对于汇聚了成百上千个百兆/千兆以太网流量的分布层或核心层来说,工作在第7层的软件实现的IDS无法处理的数据,就不加选择地对所有流量都进行监控是不现实的。
发现可疑流量
可以利用设备管理软件采集和输出的网络流量的统计信息,可以发现单个主机发出超出正常数量的连接请求,这种不正常的大数量的流往往是蠕虫爆发或网络滥用的迹象。因为蠕虫的特性就是在发作时会扫描大量随机IP地址来寻找可能的目标,会产生大量的TCP或ICMP流。流记录里其实没有数据包的载荷(payload)信息。如果分析和利用得当,记录非常适用于蠕虫或其他网络滥用行为的检测。
了解流量模式的基线非常重要。例如,一个用户同时有50-100个活动的连接是正常的,但是如果一个用户发起大量的(例如200个)活动的流就是非正常的了。
追踪搜集可疑源头
识别出可疑流量后,同样重要的是追踪到源头(包括物理位置和用户ID)。在今天的移动的环境中,用户可以在整个园区网中随意漫游,仅仅知道源IP地址是很难快速定位用户的。而且我们还要防止IP地址假冒,否则检测出的源IP地址无助于我们追查可疑源头。另外我们不仅要定位到连接的端口,还要定位登录的用户名。
一旦可疑流量被监测到,我们需要捕获这些数据包来判断这个不正常的流量到底是不是发生了新的蠕虫攻击。管理软件并不对数据包做深层分析,我们需要网络分析工具或入侵检测设备来做进一步的判断。但是,如何能方便快捷地捕获可疑流量并导向网络分析工具呢?速度是很重要的,否则你就错过了把蠕虫扼杀在早期的机会。除了要很快定位可疑设备的物理位置,还要有手段能尽快搜集到证据。我们不可能在每个接入交换机旁放置网络分析或入侵检测设备,也不可能在发现可疑流量时扛着分析仪跑去配线间。
集成的安全特性提供了基于身份的网络服务(IBNS),以及DHCP监听、源IP防护、和动态ARP检测等功能。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息,同时防范IP地址假冒。这点非常重要,如果不能防范IP地址假冒,那么搜集到的信息就没有意义了。 用户一旦登录网络,就可获得这些信息。结合ACS,还可以定位用户登录的用户名。在收集器上编写一个脚本文件,当发现可疑流量时,就能以Email的方式,把相关信息发送给网络管理员。
在通知Email里,报告了有不正常网络活动的用户CITG, 所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.1.40.44,物理接口是FastEthernet1/6,另外还有客户端IP地址和MAC地址 ,以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量。
通过远程SPAN捕获可疑流量
交换机上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上,例如将接入层交换机上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口,只需非常简单的几命令即可完成。流量被捕获到网络分析或入侵检测设备,作进一步的分析和做出相应的动作。 整个过程需要多长时间呢?对于一个有经验的网管员来说,在蠕虫发生的5分钟内就能完成,而且他不需要离开他的座位!
我们可以看到,这个解决关键是结合了三层设备上所集成的多种安全特性功能,从扩展的802.1x,到DHCP 监听、动态ARP检测、源IP防护。面对当前病毒入侵,有些时候可以充分利用某些安全特性,为我们提供了一个在企业局域网上有效防范病毒入侵的很好的解决策略,虽然不需更多额外投资,而充分利用的是三层交换设备集成在上的IOS中的功能特性,同时也带给我们一个新的思考:如何充分利用现有网络资源来保护网络安全?这些和我们平时在选择网络设备时,有可能忽略的特性,往往会带给我们意想不到的却有行之有效的结果。
