ExtremeSentriant內(nèi)網(wǎng)安全產(chǎn)品教學(xué)材料

主動式內(nèi)部網(wǎng)絡(luò)防護

SentriantAgenda內(nèi)網(wǎng)安全現(xiàn)狀分析內(nèi)網(wǎng)安全設(shè)備-Sentriant?簡介內(nèi)網(wǎng)安全技術(shù)比較總結(jié)2計算機安全防護EngineeringFinanceServerFarmWLANInternet邊界防火墻廣域網(wǎng)安全,在線過濾無法監(jiān)控內(nèi)網(wǎng)通信邊界防護個人防火墻分散式末端防護目的主機過濾，無法主動隔離感染源建設(shè)和維護成本高終端IDS/IPS在線架構(gòu)：效能瓶頸及單一故障點；被動式過濾，無法主動隔離單一感染源旁路監(jiān)聽：只保護關(guān)鍵網(wǎng)段無法監(jiān)控下層交換機內(nèi)的活動，無法避免群組內(nèi)交互感染升級未來10GE骨干?網(wǎng)絡(luò)認(rèn)證/接入控制特征檢測：無法應(yīng)對Day-Zero

Threat核心3矛與盾－安全威脅和安全防護矛－攻擊技術(shù)演變RPT－快速網(wǎng)絡(luò)傳播病毒和蠕蟲(紅碼病毒,SQL病毒,沖擊波,震蕩波,Welchia)拒絕服務(wù)式攻擊(DoS),分布式DoS(DDoS)Day-ZeroThreats

－首發(fā)型威脅(當(dāng)日中毒，當(dāng)日迅速傳播)盾－安全防護技術(shù)異常特征檢測:應(yīng)用層,IP協(xié)議層在線式防護：邊界防火墻,IPS,個人防火墻，防病毒網(wǎng)關(guān)旁路式防護：IDS異常行為檢測:不尋常形為(highreconactivity,syn/syn-ack失衡,異常ping包速率..)5Day-Zero攻擊的模式及應(yīng)變攻擊流量(數(shù)據(jù)包/秒)可疑行為零散攻擊鏈?zhǔn)絺鞑?RPT)手工清除尋找感染目標(biāo)感染目標(biāo)發(fā)動攻擊只能在攻擊發(fā)生后采取人工補救措施…時間6新的內(nèi)網(wǎng)解決方案時間攻擊流量(數(shù)據(jù)包/秒)在真正攻擊發(fā)生前偵測來源并自動隔離尋找感染目標(biāo)..

偵測可疑的行為

判斷感染源或攻擊發(fā)起者

自動隔離

Extreme內(nèi)網(wǎng)安全解決方案7Agenda內(nèi)網(wǎng)安全現(xiàn)狀分析內(nèi)網(wǎng)安全設(shè)備-Sentriant?簡介內(nèi)網(wǎng)安全技術(shù)比較總結(jié)8Sentriant簡介*必須搭配支持CLEAR-Flow功能的交換機Sentriant?第一種真正可以部署在網(wǎng)絡(luò)核心的安全解決方案4個10/100/1000M檢測/防護端口、1個10/100/1000M帶外管理端口非為

in-line網(wǎng)絡(luò)設(shè)備–不影響網(wǎng)絡(luò)效能或增加數(shù)據(jù)包延遲，即使設(shè)備故障亦不影響網(wǎng)絡(luò)運作采行為分析法則，不需要仰賴數(shù)據(jù)包特征(signatures)可有效的阻絕首發(fā)(Day-0)攻擊的威脅獨特的第二層隔離技術(shù)可自動隔離受感染的電腦，且不需要搭配任何特定廠牌的交換機可整合Extreme’s獨步全球的CLEAR-Flow技術(shù)，增加數(shù)十倍偵測能力并支持10Gigabit網(wǎng)絡(luò)環(huán)境*9網(wǎng)絡(luò)安全系統(tǒng)構(gòu)成ThreatDetection-威脅檢測Sentriant設(shè)計用于自動發(fā)現(xiàn)最具破壞力的安全威脅快速網(wǎng)絡(luò)傳播的蠕蟲病毒(別名RPTs快速傳播威脅)Sentriant基于行為分析發(fā)現(xiàn)攻擊無需signatures特征位信息，防護未知病毒基于RPT共性的流量異?，F(xiàn)象Mitigation-安全防護Sentriant提供多種防護措施ActiveDeception攻擊源欺騙Snaring攻擊源延遲Cloak二層ARP欺騙技術(shù)，透明隔離攻擊源交換機聯(lián)動ACL包過濾10威脅檢測機制HyperDetection超級檢測基于ARP廣播包分析，構(gòu)建己知/空白主機對應(yīng)關(guān)系，偵測對不存在主機的異常訪問行為(如攻擊前網(wǎng)絡(luò)掃描)監(jiān)控廣播數(shù)據(jù)包，無需交換機端口鏡像ThreatAssessmentEngine(TAE)威脅評估監(jiān)控Unicast數(shù)據(jù)包，需配合端口鏡像或ClearFlow技術(shù)偵測/分析異常通信行為IP/MAC地址欺騙TCP/UDP端口掃描協(xié)議錯誤策略違反DoS攻擊行為11威脅檢測機制-HyperDetectionSentriant通過802.1Q中繼連接用戶VLAN，偵聽arp廣播數(shù)據(jù)包建立網(wǎng)絡(luò)主機對應(yīng)關(guān)系，明確真實主機和空白地址攻擊源的偵測訪問涉及大量空白地址Sentriant記錄針對空白地址的偵測訪問，并產(chǎn)生相關(guān)告警事件記錄???

針對空白IP地址空間的異常訪問行為是真正威肋的早期預(yù)警信號Attacker有效訪問偵測訪問12威脅檢測機制-TAE基于主機間所有會話流量分析，要求端口鏡像HostRules－主機策略異常主機訪問監(jiān)控：Toomanyunused、Toomanyunprotected等Port-basedmonitoring－udp/tcp端口策略Portsacrossmanyhosts：ToomanySMTP等Portsperhost：portsscan－端口掃描Packet－包策略協(xié)議包合法性檢查Spoof－欺騙策略非法IP和MAC映射13防護措施-ActiveDeceptionSentriant通過virtualdecoys虛擬主機，代為響應(yīng)非法訪問請求Sentriant可仿真各種操作系統(tǒng)主機(如DOS,windows95,windowsXP等）RPT攻擊源無法區(qū)分真實主機與虛擬主機，嘗試攻擊不存在的虛擬主機，從而浪費其系統(tǒng)資Sentriant記錄所有針對虛擬主機的攻擊行為和攻擊模式真實主機隱藏在虛擬主機產(chǎn)生的whitenoise白噪聲中!VirtualDecoys!VirtualDecoys虛擬主機預(yù)警網(wǎng)絡(luò)掃描行為!!VirtualDecoys14防護措施-Snaring修改TCP會話建立過程中的3-way握手過程設(shè)置TCPwindowsize為zero強制攻擊源每次只能發(fā)送一個攻擊包設(shè)置MSS值，強制每個攻擊包大小為最小因為攻擊源主機的資源有限，sentriant可通過上述行為，掛住每一個攻擊會話，導(dǎo)致攻擊源無效會話數(shù)累積，從而最終降低其對其它主機的攻擊能量Snaring-虛假響應(yīng)延續(xù)攻擊會話存活時間AttackerResponse15防護措施-CloakMACAddressIPAddress攻擊源ARP表192.168.0.14192.168.0.17192.168.0.8400:fe:4a:c3:ca:e000:fe:ea:d1:32:5a00:fe:cd:a5:4a:d2192.168.0.84攻擊源目的主機MACAddressIPAddress目的主機ARP表192.168.0.10192.168.0.17192.168.0.8400:fe:3e:c1:82:0e00:fe:ea:d1:32:5a00:fe:cd:a5:4a:d2192.168.0.10攻擊包Cloaking之前MACAddressIPAddress攻擊源ARP表192.168.0.10192.168.0.17192.168.0.8400:fe:00:00:00:feMACAddressIPAddress目的主機ARP表192.168.0.10192.168.0.17192.168.0.8400:fe:ea:d1:32:5a00:fe:00:00:00:f200:fe:00:00:00:f100:fe:00:00:00:fe00:fe:cd:a5:4a:d2{{重定向Arp表重定向Arp表Cloaking之后攻擊源目的主機當(dāng)Sentriant偵測到異常行為…采取專利申請中的Cloaking技術(shù)來隔離攻擊源Cloaking是一種主動式

隔離技術(shù)，它基于二層ARP協(xié)議，將攻擊流量重定向至Sentriant并過濾。無需額外主機軟件，無需交換機配合16Sentriant工作模式標(biāo)準(zhǔn)模式行為監(jiān)控，不需要作病毒碼更新隔離攻擊及感染源，即使攻擊狀態(tài)下仍能確保公司重要應(yīng)用的運行安裝過程不需中斷任何服務(wù)或線路，即使是服務(wù)中的網(wǎng)絡(luò)仍能使用

自動化的威脅隔離整合模式整合具有CLEAR-flow功能的交換機+選擇性端口鏡像

(降低Sentriant的負荷)+

偵測來自10GE接口的威脅+動態(tài)聯(lián)動的ACLs(可透過API動態(tài)調(diào)整交換機上的ACL)17Sentriant工作模式1－標(biāo)準(zhǔn)模式EngineeringFinance通過802.1Q中繼端口監(jiān)聽分析廣播式攻擊包(無需端口鏡像)通過交換機鏡像端口監(jiān)聽unicast攻擊包(需端口鏡像)BD8800802.1QTrunk端口鏡像18業(yè)界唯一萬兆保護技術(shù)BlackDiamond12804CSentriantSentriant工作模式2－整合模式4Sentriant分析的結(jié)論：是否為真正的網(wǎng)絡(luò)攻擊....43將疑似攻擊流量送往Sentriant做進一步分析35如果的確是攻擊，指示交換機采取相應(yīng)的防攻擊動作52CLEAR-flow支持:有選擇的端口鏡像，DoS攻擊過濾21檢測到疑似攻擊..119CLEAR-Flow－ACL擴展靈活準(zhǔn)確的流量統(tǒng)計及行為分析絕對值計數(shù):packet/bytecounters速率計數(shù)：packet/bytecounters靈活的計數(shù)器間運算分析，發(fā)現(xiàn)可疑流量可自定義可疑情況門限值靈活的動態(tài)響應(yīng):禁止端口或VLAN發(fā)送trap告警信息自動創(chuàng)建dynamicACL用于:將可疑流量分離并重定向至:鏡像端口(外接Sentriant做精確分析)sFlow服務(wù)器NetFlow服務(wù)器丟棄異常流量Continuous（持續(xù)地）Learning（探測）Examination（檢查）Action&（采取行動）Reporting（報告）可疑行為流量正常行為流量時間流量ICMP-requestICMP-replyT1T220CLEAR-Flow監(jiān)測到的威脅SmurfattackPingofdeathPingsweepPingfloodPortsweepTCPFlood(Syn,Syn-Ack,Ack,Fin,Xmas,Rst)Synattack:RFC-2827Etc…DenialofService

AttacksLoginservicesRPC,NFSFilesharingXwindowsNameservicesMailservicesWebservicesICMPmessagesEtc..Floodattacksagainstwellknowportnumbers21安裝Sentriant前蠕蟲注入

……發(fā)動快速攻擊……快速攻占網(wǎng)絡(luò)……嚴(yán)重影響業(yè)務(wù)運作且難于清除HIDS&AV

InfectedLaptop22安裝Sentriant后HIDS&AV

InfectedLaptopCloaking所有攻擊包

重定向至

sentriant所有主機不受影響23Agenda內(nèi)網(wǎng)安全現(xiàn)狀分析內(nèi)網(wǎng)安全設(shè)備-Sentriant?簡介Sentriant?與高端交換機整合的優(yōu)勢-

CLEAR-flow內(nèi)網(wǎng)安全技術(shù)比較總結(jié)24Sentriant比較IDSIn-lineIPSSentriant?透通型(監(jiān)聽)

Some

無效能影響

X

單一網(wǎng)絡(luò)故障點

X

行為分析(無需特征)SomeSome

偵測“已知”攻擊

阻絕首發(fā)(day-0)攻擊XSome

整合ClearFlow?技術(shù)XX

隔離單一受感染電腦XX

保護10Gig網(wǎng)絡(luò)XX

整體網(wǎng)絡(luò)XX

25與IDS/IPS達成全面性防護IDS/IPS應(yīng)用層檢測，性能要求高IDS只識別己