ExtremeSentriant内网安全产品教学材料

主动式内部网络防护

SentriantAgenda内网安全现状分析內网安全设备-Sentriant™简介内网安全技术比较总结2计算机安全防护EngineeringFinanceServerFarmWLANInternet边界防火墙广域网安全,在线过滤无法监控内网通信边界防护个人防火墙分散式末端防护目的主机过滤，无法主动隔离感染源建设和维护成本高终端IDS/IPS在线架构：效能瓶颈及单一故障点；被动式过滤，无法主动隔离单一感染源旁路监听：只保护关键网段无法监控下层交换机內的活动，无法避免群組內交互感染升级未来10GE骨干?网络认证/接入控制特征检测：无法应对Day-Zero

Threat核心3矛与盾－安全威胁和安全防护矛－攻击技术演变RPT－快速网络传播病毒和蠕虫(红码病毒,SQL病毒,冲击波,震荡波,Welchia)拒绝服务式攻击(DoS),分布式DoS(DDoS)Day-ZeroThreats

－首发型威胁(当日中毒，当日迅速传播)盾－安全防护技术异常特征检测:应用层,IP协议层在线式防护：边界防火墙,IPS,个人防火墙，防病毒网关旁路式防护：IDS异常行为检测:不寻常形为(highreconactivity,syn/syn-ack失衡,异常ping包速率..)5Day-Zero攻击的模式及应变攻击流量(数据包/秒)可疑行为零散攻击链式传播(RPT)手工清除寻找感染目标感染目标发动攻击只能在攻击发生后采取人工补救措施…时间6新的內网解决方案时间攻击流量(数据包/秒)在真正攻击发生前侦测来源并自动隔离寻找感染目标..

侦测可疑的行为

判断感染源或攻击发起者

自动隔离

Extreme內网安全解决方案7Agenda内网安全现状分析內网安全设备-Sentriant™简介内网安全技术比较总结8Sentriant简介*必须搭配支持CLEAR-Flow功能的交换机Sentriant™第一种真正可以部署在网络核心的安全解决方案4个10/100/1000M检测/防护端口、1个10/100/1000M带外管理端口非为

in-line网络设备–不影响网络效能或增加数据包延迟，即使设备故障亦不影响网络运作采行为分析法则，不需要仰赖数据包特征(signatures)可有效的阻绝首发(Day-0)攻击的威胁独特的第二层隔离技术可自动隔离受感染的电脑，且不需要搭配任何特定厂牌的交换机可整合Extreme’s独步全球的CLEAR-Flow技术，增加数十倍侦测能力并支持10Gigabit网络环境*9网络安全系统构成ThreatDetection-威胁检测Sentriant设计用于自动发现最具破坏力的安全威胁快速网络传播的蠕虫病毒(别名RPTs快速传播威胁)Sentriant基于行为分析发现攻击无需signatures特征位信息，防护未知病毒基于RPT共性的流量异常现象Mitigation-安全防护Sentriant提供多种防护措施ActiveDeception攻击源欺骗Snaring攻击源延迟Cloak二层ARP欺骗技术，透明隔离攻击源交换机联动ACL包过滤10威胁检测机制HyperDetection超级检测基于ARP广播包分析，构建己知/空白主机对应关系，侦测对不存在主机的异常访问行为(如攻击前网络扫描)监控广播数据包，无需交换机端口镜像ThreatAssessmentEngine(TAE)威胁评估监控Unicast数据包，需配合端口镜像或ClearFlow技术侦测/分析异常通信行为IP/MAC地址欺骗TCP/UDP端口扫描协议错误策略违反DoS攻击行为11威胁检测机制-HyperDetectionSentriant通过802.1Q中继连接用户VLAN，侦听arp广播数据包建立网络主机对应关系，明确真实主机和空白地址攻击源的侦测访问涉及大量空白地址Sentriant记录针对空白地址的侦测访问，并产生相关告警事件记录???

针对空白IP地址空间的异常访问行为是真正威肋的早期预警信号Attacker有效访问侦测访问12威胁检测机制-TAE基于主机间所有会话流量分析，要求端口镜像HostRules－主机策略异常主机访问监控：Toomanyunused、Toomanyunprotected等Port-basedmonitoring－udp/tcp端口策略Portsacrossmanyhosts：ToomanySMTP等Portsperhost：portsscan－端口扫描Packet－包策略协议包合法性检查Spoof－欺骗策略非法IP和MAC映射13防护措施-ActiveDeceptionSentriant通过virtualdecoys虚拟主机，代为响应非法访问请求Sentriant可仿真各种操作系统主机(如DOS,windows95,windowsXP等）RPT攻击源无法区分真实主机与虚拟主机，尝试攻击不存在的虚拟主机，从而浪费其系统资Sentriant记录所有针对虚拟主机的攻击行为和攻击模式真实主机隐藏在虚拟主机产生的whitenoise白噪声中!VirtualDecoys!VirtualDecoys虚拟主机预警网络扫描行为!!VirtualDecoys14防护措施-Snaring修改TCP会话建立过程中的3-way握手过程设置TCPwindowsize为zero强制攻击源每次只能发送一个攻击包设置MSS值，强制每个攻击包大小为最小因为攻击源主机的资源有限，sentriant可通过上述行为，挂住每一个攻击会话，导致攻击源无效会话数累积，从而最终降低其对其它主机的攻击能量Snaring-虚假响应延续攻击会话存活时间AttackerResponse15防护措施-CloakMACAddressIPAddress攻击源ARP表192.168.0.14192.168.0.17192.168.0.8400:fe:4a:c3:ca:e000:fe:ea:d1:32:5a00:fe:cd:a5:4a:d2192.168.0.84攻击源目的主机MACAddressIPAddress目的主机ARP表192.168.0.10192.168.0.17192.168.0.8400:fe:3e:c1:82:0e00:fe:ea:d1:32:5a00:fe:cd:a5:4a:d2192.168.0.10攻击包Cloaking之前MACAddressIPAddress攻击源ARP表192.168.0.10192.168.0.17192.168.0.8400:fe:00:00:00:feMACAddressIPAddress目的主机ARP表192.168.0.10192.168.0.17192.168.0.8400:fe:ea:d1:32:5a00:fe:00:00:00:f200:fe:00:00:00:f100:fe:00:00:00:fe00:fe:cd:a5:4a:d2{{重定向Arp表重定向Arp表Cloaking之后攻击源目的主机当Sentriant侦测到异常行为…采取专利申请中的Cloaking技术来隔离攻击源Cloaking是一种主动式

隔离技术，它基于二层ARP协议，将攻击流量重定向至Sentriant并过滤。无需额外主机软件，无需交换机配合16Sentriant工作模式标准模式行为监控，不需要作病毒码更新隔离攻击及感染源，即使攻击狀态下仍能确保公司重要应用的运行安裝过程不需中断任何服务或线路，即使是服务中的网络仍能使用

自动化的威胁隔离整合模式整合具有CLEAR-flow功能的交换机+选择性端口镜像

(降低Sentriant的负荷)+

侦测来自10GE接口的威胁+动态联动的ACLs(可透过API动态调整交换机上的ACL)17Sentriant工作模式1－标准模式EngineeringFinance通过802.1Q中继端口监听分析广播式攻击包(无需端口镜像)通过交换机镜像端口监听unicast攻击包(需端口镜像)BD8800802.1QTrunk端口镜像18业界唯一万兆保护技术BlackDiamond12804CSentriantSentriant工作模式2－整合模式4Sentriant分析的结论：是否为真正的网络攻击....43将疑似攻击流量送往Sentriant做进一步分析35如果的确是攻击，指示交换机采取相应的防攻击动作52CLEAR-flow支持:有选择的端口镜像，DoS攻击过滤21检测到疑似攻击..119CLEAR-Flow－ACL扩展灵活准确的流量统计及行为分析绝对值计数:packet/bytecounters速率计数：packet/bytecounters灵活的计数器间运算分析，发现可疑流量可自定义可疑情况门限值灵活的动态响应:禁止端口或VLAN发送trap告警信息自动创建dynamicACL用于:将可疑流量分离并重定向至:镜像端口(外接Sentriant做精确分析)sFlow服务器NetFlow服务器丢弃异常流量Continuous（持续地）Learning（探测）Examination（检查）Action&（采取行动）Reporting（报告）可疑行为流量正常行为流量时间流量ICMP-requestICMP-replyT1T220CLEAR-Flow监测到的威胁SmurfattackPingofdeathPingsweepPingfloodPortsweepTCPFlood(Syn,Syn-Ack,Ack,Fin,Xmas,Rst)Synattack:RFC-2827Etc…DenialofService

AttacksLoginservicesRPC,NFSFilesharingXwindowsNameservicesMailservicesWebservicesICMPmessagesEtc..Floodattacksagainstwellknowportnumbers21安裝Sentriant前蠕虫注入

……发动快速攻击……快速攻占网络……严重影响业务运作且难于清除HIDS&AV

InfectedLaptop22安裝Sentriant后HIDS&AV

InfectedLaptopCloaking所有攻击包

重定向至

sentriant所有主机不受影响23Agenda内网安全现状分析內网安全设备-Sentriant™简介Sentriant™与高端交换机整合的优势-

CLEAR-flow内网安全技术比较总结24Sentriant比较IDSIn-lineIPSSentriant™透通型(监听)

Some

无效能影响

X

单一网络故障点

X

行为分析(无需特征)SomeSome

侦测“已知”攻击

阻绝首发(day-0)攻击XSome

整合ClearFlow™技术XX

隔离单一受感染电脑XX

保护10Gig网络XX

整体网络XX

25与IDS/IPS达成全面性防护IDS/IPS应用层检测，性能要求高IDS只识别己