网络运用越频繁安全越需要关心面对越来越多变的攻击威胁管理者在既有的网络上加入各种防护目地的资安设备让整各个网络越变越复杂不仅在设备费用、管理人员上的投入难以算计最后黑客攻击没拦到把自己的网络架构搞得一团乱网络定度下降得不偿失。

Firewall / IDP / UTM 等设备拥有强大的信息安全检查工具黑客、病毒、殭尸病毒、木马等危害的封包经过它通通无所遁形。传统上,这些设备跟Switch 都是虽然独立运作,但又紧密地接在一起。这样的架构,对于内部网络广播型的攻击,例如 ARP 欺骗、NetcutIP伪装等束手无策,就算从LOG中找出问题的计算机,只能把封包阻挡,但是攻击的封包依然在内部网络肆虐

 下列是众至曾经碰到与提供的解决案例

XX 大学的学生宿舍网络速度一直为人诟病速度忽快忽慢相当不稳定虽然从UTM上看到疑似某些IP地址有不寻常的封包但不知这个IP地址是哪一位学生使用也没有任何证据可以证明他有哪一些不法的行为对于管理者而言相当困扰如图一所示。

         

图一传统的学生宿舍或是饭店网络架构图

这类型的网络架构点出了许多网络管理者的痛苦,例如:出租宿舍、饭店、公共无线上网等环境,一方面需要提供便利的网络服务给他的用户,又不能限制这些用户的使用行为,况且网络的管理更不是他们擅长的服务,万一客户提出抱怨,上网速度过慢、利用公众网络后中毒、中木马等问题,速度慢还可以靠加大对外频宽,汰换成最新的交换机度过短暂的稳定假像,面对资安的问题,对他们来说,束手无策。


ShareTech 的解决方案很简单,让UTM  Switch 能够互相沟通,贡献自己优异的功能,简单来说,利用UTM 侦测到不合理的资安问题,除了本身对外的管制动作封锁外,再利用 SNMP或是TELNET 的命令通知SWITCH 执行简单的 PORT封锁/管制。既可以不改变使用者的任何使用习惯,又可以在第一时间发现异常时,将出问题的计算机封锁在一个小范围内,如

                     

图二ShareTech 协同防御基本概念图

一般而言Layer 2 且支持SNMP 协议的交换机在市价上是可以被接受的范围所以我们的解决方案不会有听起来很好但要实际做到时因为费用或是布署上的问题导致『曲高和寡』的困境。就算因为费用的因素,无法全面换成这样的交换器,也可以将内网的浑沌区域限制在一个小小的范围。 

方法一:異常IP分析

任何网络行为不论使用者执行哪一种软件从网络封包的角度分成几个现象上传、下载的联机数量(Connect Seesion)、流量(Flow)跟持续时间(Time)藉由侦测这些数量的组合推估使用者是正常使用网络或是有异常的行为。

当发现内部使用者异常行为后管理者可以采取多种策略例如阻挡上网、立即限制他的最大频宽、启用协同防御机制通知交换机将他封锁或是通知管理者就好。

方法:交换器管理

如何管理内部网络每一个管理者想要的需求都不一样有人关心每一个IP地址的流量有人关心每一部计算机的实际位置在哪里再加上内部网络的网络线的盘根错觉让每一位管理者头疼

ShareTech 的交换器管理把这一切都简单化了UTMLAN或是DMZ为出发点把每一个交换器的Uplink  Downlink 标示出佐以阶层的观念将所有的交换器分层显示如图三所示要找寻出问题的计算机实际位置时按图索骥就可以

                   

图三交换器的阶层图

方法:内网防护

UTM 而言最难侦测到的攻击类型就是广播型的封包ARP欺骗、私架DHCP服务器等因为通讯协议的先天性缺陷导致这一类的攻击行为很难被侦测出来就算找到了攻击者因为侦测机制无法跟第一线的UTM或是交换机互相沟通无法做立即的封锁传统的方式是发生问题时请人到每一台交换器上拔线测试外别无他法。

ShareTech ARP 侦测机制可以在第一时间内就找到『滥发布』 ARP 讯息的人此时他只是处于ARP 攻击前的准备尚未发动任何攻击站在管理者的角度它是在合法跟非法的边缘搭配协同防御交换器的设备可以标示出这个 IP 的实体位置让他无所遁形。

UTM  Switch 2个完全不相干的网络设备但却又是紧密地结合在一起运作UTM 擅长侦测、阻挡异常的网络封包Switch 是执行第一线的网络连接如果让这2个设备有沟通的能力UTM 侦测到有问题的IP或是MAC 地址时通知Switch 执行第一线的封锁命令就可以把任何类型的危害降到最低。

ShareTech 的协同防御机制不需要改变网络架构不需要更昂贵的专门Switch (具备Layer 2就可以)、不需要增加任何额外的侦测设备、不用改变每一个使用者的网络习惯让网络管理的动作变得简单、直觉。


网络不顺畅,众至UR来帮忙--协同防御,直接管控交换机

来源:www.nasi.cn  加入时间:2012-3-22 点击:624257