ExtremeSentriant內(nèi)網(wǎng)安全產(chǎn)品教學(xué)材料

主動(dòng)式內(nèi)部網(wǎng)絡(luò)防護(hù)

SentriantAgenda內(nèi)網(wǎng)安全現(xiàn)狀分析內(nèi)網(wǎng)安全設(shè)備-Sentriant?簡(jiǎn)介內(nèi)網(wǎng)安全技術(shù)比較總結(jié)2計(jì)算機(jī)安全防護(hù)EngineeringFinanceServerFarmWLANInternet邊界防火墻廣域網(wǎng)安全,在線過濾無法監(jiān)控內(nèi)網(wǎng)通信邊界防護(hù)個(gè)人防火墻分散式末端防護(hù)目的主機(jī)過濾，無法主動(dòng)隔離感染源建設(shè)和維護(hù)成本高終端IDS/IPS在線架構(gòu)：效能瓶頸及單一故障點(diǎn)；被動(dòng)式過濾，無法主動(dòng)隔離單一感染源旁路監(jiān)聽：只保護(hù)關(guān)鍵網(wǎng)段無法監(jiān)控下層交換機(jī)內(nèi)的活動(dòng)，無法避免群組內(nèi)交互感染升級(jí)未來10GE骨干?網(wǎng)絡(luò)認(rèn)證/接入控制特征檢測(cè)：無法應(yīng)對(duì)Day-Zero

Threat核心3矛與盾－安全威脅和安全防護(hù)矛－攻擊技術(shù)演變RPT－快速網(wǎng)絡(luò)傳播病毒和蠕蟲(紅碼病毒,SQL病毒,沖擊波,震蕩波,Welchia)拒絕服務(wù)式攻擊(DoS),分布式DoS(DDoS)Day-ZeroThreats

－首發(fā)型威脅(當(dāng)日中毒，當(dāng)日迅速傳播)盾－安全防護(hù)技術(shù)異常特征檢測(cè):應(yīng)用層,IP協(xié)議層在線式防護(hù)：邊界防火墻,IPS,個(gè)人防火墻，防病毒網(wǎng)關(guān)旁路式防護(hù)：IDS異常行為檢測(cè):不尋常形為(highreconactivity,syn/syn-ack失衡,異常ping包速率..)5Day-Zero攻擊的模式及應(yīng)變攻擊流量(數(shù)據(jù)包/秒)可疑行為零散攻擊鏈?zhǔn)絺鞑?RPT)手工清除尋找感染目標(biāo)感染目標(biāo)發(fā)動(dòng)攻擊只能在攻擊發(fā)生后采取人工補(bǔ)救措施…時(shí)間6新的內(nèi)網(wǎng)解決方案時(shí)間攻擊流量(數(shù)據(jù)包/秒)在真正攻擊發(fā)生前偵測(cè)來源并自動(dòng)隔離尋找感染目標(biāo)..

偵測(cè)可疑的行為

判斷感染源或攻擊發(fā)起者

自動(dòng)隔離

Extreme內(nèi)網(wǎng)安全解決方案7Agenda內(nèi)網(wǎng)安全現(xiàn)狀分析內(nèi)網(wǎng)安全設(shè)備-Sentriant?簡(jiǎn)介內(nèi)網(wǎng)安全技術(shù)比較總結(jié)8Sentriant簡(jiǎn)介*必須搭配支持CLEAR-Flow功能的交換機(jī)Sentriant?第一種真正可以部署在網(wǎng)絡(luò)核心的安全解決方案4個(gè)10/100/1000M檢測(cè)/防護(hù)端口、1個(gè)10/100/1000M帶外管理端口非為

in-line網(wǎng)絡(luò)設(shè)備–不影響網(wǎng)絡(luò)效能或增加數(shù)據(jù)包延遲，即使設(shè)備故障亦不影響網(wǎng)絡(luò)運(yùn)作采行為分析法則，不需要仰賴數(shù)據(jù)包特征(signatures)可有效的阻絕首發(fā)(Day-0)攻擊的威脅獨(dú)特的第二層隔離技術(shù)可自動(dòng)隔離受感染的電腦，且不需要搭配任何特定廠牌的交換機(jī)可整合Extreme’s獨(dú)步全球的CLEAR-Flow技術(shù)，增加數(shù)十倍偵測(cè)能力并支持10Gigabit網(wǎng)絡(luò)環(huán)境*9網(wǎng)絡(luò)安全系統(tǒng)構(gòu)成ThreatDetection-威脅檢測(cè)Sentriant設(shè)計(jì)用于自動(dòng)發(fā)現(xiàn)最具破壞力的安全威脅快速網(wǎng)絡(luò)傳播的蠕蟲病毒(別名RPTs快速傳播威脅)Sentriant基于行為分析發(fā)現(xiàn)攻擊無需signatures特征位信息，防護(hù)未知病毒基于RPT共性的流量異?，F(xiàn)象Mitigation-安全防護(hù)Sentriant提供多種防護(hù)措施ActiveDeception攻擊源欺騙Snaring攻擊源延遲Cloak二層ARP欺騙技術(shù)，透明隔離攻擊源交換機(jī)聯(lián)動(dòng)ACL包過濾10威脅檢測(cè)機(jī)制HyperDetection超級(jí)檢測(cè)基于ARP廣播包分析，構(gòu)建己知/空白主機(jī)對(duì)應(yīng)關(guān)系，偵測(cè)對(duì)不存在主機(jī)的異常訪問行為(如攻擊前網(wǎng)絡(luò)掃描)監(jiān)控廣播數(shù)據(jù)包，無需交換機(jī)端口鏡像ThreatAssessmentEngine(TAE)威脅評(píng)估監(jiān)控Unicast數(shù)據(jù)包，需配合端口鏡像或ClearFlow技術(shù)偵測(cè)/分析異常通信行為IP/MAC地址欺騙TCP/UDP端口掃描協(xié)議錯(cuò)誤策略違反DoS攻擊行為11威脅檢測(cè)機(jī)制-HyperDetectionSentriant通過802.1Q中繼連接用戶VLAN，偵聽arp廣播數(shù)據(jù)包建立網(wǎng)絡(luò)主機(jī)對(duì)應(yīng)關(guān)系，明確真實(shí)主機(jī)和空白地址攻擊源的偵測(cè)訪問涉及大量空白地址Sentriant記錄針對(duì)空白地址的偵測(cè)訪問，并產(chǎn)生相關(guān)告警事件記錄???

針對(duì)空白IP地址空間的異常訪問行為是真正威肋的早期預(yù)警信號(hào)Attacker有效訪問偵測(cè)訪問12威脅檢測(cè)機(jī)制-TAE基于主機(jī)間所有會(huì)話流量分析，要求端口鏡像HostRules－主機(jī)策略異常主機(jī)訪問監(jiān)控：Toomanyunused、Toomanyunprotected等Port-basedmonitoring－udp/tcp端口策略Portsacrossmanyhosts：ToomanySMTP等Portsperhost：portsscan－端口掃描Packet－包策略協(xié)議包合法性檢查Spoof－欺騙策略非法IP和MAC映射13防護(hù)措施-ActiveDeceptionSentriant通過virtualdecoys虛擬主機(jī)，代為響應(yīng)非法訪問請(qǐng)求Sentriant可仿真各種操作系統(tǒng)主機(jī)(如DOS,windows95,windowsXP等）RPT攻擊源無法區(qū)分真實(shí)主機(jī)與虛擬主機(jī)，嘗試攻擊不存在的虛擬主機(jī)，從而浪費(fèi)其系統(tǒng)資Sentriant記錄所有針對(duì)虛擬主機(jī)的攻擊行為和攻擊模式真實(shí)主機(jī)隱藏在虛擬主機(jī)產(chǎn)生的whitenoise白噪聲中!VirtualDecoys!VirtualDecoys虛擬主機(jī)預(yù)警網(wǎng)絡(luò)掃描行為!!VirtualDecoys14防護(hù)措施-Snaring修改TCP會(huì)話建立過程中的3-way握手過程設(shè)置TCPwindowsize為zero強(qiáng)制攻擊源每次只能發(fā)送一個(gè)攻擊包設(shè)置MSS值，強(qiáng)制每個(gè)攻擊包大小為最小因?yàn)楣粼粗鳈C(jī)的資源有限，sentriant可通過上述行為，掛住每一個(gè)攻擊會(huì)話，導(dǎo)致攻擊源無效會(huì)話數(shù)累積，從而最終降低其對(duì)其它主機(jī)的攻擊能量Snaring-虛假響應(yīng)延續(xù)攻擊會(huì)話存活時(shí)間AttackerResponse15防護(hù)措施-CloakMACAddressIPAddress攻擊源ARP表192.168.0.14192.168.0.17192.168.0.8400:fe:4a:c3:ca:e000:fe:ea:d1:32:5a00:fe:cd:a5:4a:d2192.168.0.84攻擊源目的主機(jī)MACAddressIPAddress目的主機(jī)ARP表192.168.0.10192.168.0.17192.168.0.8400:fe:3e:c1:82:0e00:fe:ea:d1:32:5a00:fe:cd:a5:4a:d2192.168.0.10攻擊包Cloaking之前MACAddressIPAddress攻擊源ARP表192.168.0.10192.168.0.17192.168.0.8400:fe:00:00:00:feMACAddressIPAddress目的主機(jī)ARP表192.168.0.10192.168.0.17192.168.0.8400:fe:ea:d1:32:5a00:fe:00:00:00:f200:fe:00:00:00:f100:fe:00:00:00:fe00:fe:cd:a5:4a:d2{{重定向Arp表重定向Arp表Cloaking之后攻擊源目的主機(jī)當(dāng)Sentriant偵測(cè)到異常行為…采取專利申請(qǐng)中的Cloaking技術(shù)來隔離攻擊源Cloaking是一種主動(dòng)式

隔離技術(shù)，它基于二層ARP協(xié)議，將攻擊流量重定向至Sentriant并過濾。無需額外主機(jī)軟件，無需交換機(jī)配合16Sentriant工作模式標(biāo)準(zhǔn)模式行為監(jiān)控，不需要作病毒碼更新隔離攻擊及感染源，即使攻擊狀態(tài)下仍能確保公司重要應(yīng)用的運(yùn)行安裝過程不需中斷任何服務(wù)或線路，即使是服務(wù)中的網(wǎng)絡(luò)仍能使用

自動(dòng)化的威脅隔離整合模式整合具有CLEAR-flow功能的交換機(jī)+選擇性端口鏡像

(降低Sentriant的負(fù)荷)+

偵測(cè)來自10GE接口的威脅+動(dòng)態(tài)聯(lián)動(dòng)的ACLs(可透過API動(dòng)態(tài)調(diào)整交換機(jī)上的ACL)17Sentriant工作模式1－標(biāo)準(zhǔn)模式EngineeringFinance通過802.1Q中繼端口監(jiān)聽分析廣播式攻擊包(無需端口鏡像)通過交換機(jī)鏡像端口監(jiān)聽unicast攻擊包(需端口鏡像)BD8800802.1QTrunk端口鏡像18業(yè)界唯一萬兆保護(hù)技術(shù)BlackDiamond12804CSentriantSentriant工作模式2－整合模式4Sentriant分析的結(jié)論：是否為真正的網(wǎng)絡(luò)攻擊....43將疑似攻擊流量送往Sentriant做進(jìn)一步分析35如果的確是攻擊，指示交換機(jī)采取相應(yīng)的防攻擊動(dòng)作52CLEAR-flow支持:有選擇的端口鏡像，DoS攻擊過濾21檢測(cè)到疑似攻擊..119CLEAR-Flow－ACL擴(kuò)展靈活準(zhǔn)確的流量統(tǒng)計(jì)及行為分析絕對(duì)值計(jì)數(shù):packet/bytecounters速率計(jì)數(shù)：packet/bytecounters靈活的計(jì)數(shù)器間運(yùn)算分析，發(fā)現(xiàn)可疑流量可自定義可疑情況門限值靈活的動(dòng)態(tài)響應(yīng):禁止端口或VLAN發(fā)送trap告警信息自動(dòng)創(chuàng)建dynamicACL用于:將可疑流量分離并重定向至:鏡像端口(外接Sentriant做精確分析)sFlow服務(wù)器NetFlow服務(wù)器丟棄異常流量Continuous（持續(xù)地）Learning（探測(cè)）Examination（檢查）Action&（采取行動(dòng)）Reporting（報(bào)告）可疑行為流量正常行為流量時(shí)間流量ICMP-requestICMP-replyT1T220CLEAR-Flow監(jiān)測(cè)到的威脅SmurfattackPingofdeathPingsweepPingfloodPortsweepTCPFlood(Syn,Syn-Ack,Ack,Fin,Xmas,Rst)Synattack:RFC-2827Etc…DenialofService

AttacksLoginservicesRPC,NFSFilesharingXwindowsNameservicesMailservicesWebservicesICMPmessagesEtc..Floodattacksagainstwellknowportnumbers21安裝Sentriant前蠕蟲注入

……發(fā)動(dòng)快速攻擊……快速攻占網(wǎng)絡(luò)……嚴(yán)重影響業(yè)務(wù)運(yùn)作且難于清除HIDS&AV

InfectedLaptop22安裝Sentriant后HIDS&AV

InfectedLaptopCloaking所有攻擊包

重定向至

sentriant所有主機(jī)不受影響23Agenda內(nèi)網(wǎng)安全現(xiàn)狀分析內(nèi)網(wǎng)安全設(shè)備-Sentriant?簡(jiǎn)介Sentriant?與高端交換機(jī)整合的優(yōu)勢(shì)-

CLEAR-flow內(nèi)網(wǎng)安全技術(shù)比較總結(jié)24Sentriant比較IDSIn-lineIPSSentriant?透通型(監(jiān)聽)

Some

無效能影響

X

單一網(wǎng)絡(luò)故障點(diǎn)

X

行為分析(無需特征)SomeSome

偵測(cè)“已知”攻擊

阻絕首發(fā)(day-0)攻擊XSome

整合ClearFlow?技術(shù)XX

隔離單一受感染電腦XX

保護(hù)10Gig網(wǎng)絡(luò)XX

整體網(wǎng)絡(luò)XX

25與IDS/IPS達(dá)成全面性防護(hù)IDS/IPS應(yīng)用層檢測(cè)，性能要求高IDS只識(shí)別己