《ExtremeSentriant内网安全产品.ppt》由会员分享,可在线阅读,更多相关《ExtremeSentriant内网安全产品.ppt(27页珍藏版)》请在三一办公上搜索。
1、主动式内部网络防护Sentriant,Page 2,Agenda,内网安全现状分析內网安全设备-Sentriant简介内网安全技术比较总结,Page 3,计算机安全防护,Internet,个人防火墙分散式末端防护目的主机过滤,无法主动隔离感染源建设和维护成本高,终端,Page 4,安全现状,企业对于安全建制的項目:90%的企业使用防毒软件来保护终端设备 1 88%的企业使用郵件过滤1 70%的企业使用firewalls and VPNs 266%的企业使用antispam2但显然这些并不足夠:80%的北美企业曾经遭受1次以上成功的攻击,这其中有30%甚至超过10次以上 3受影响的电脑超过1亿1
2、千5百萬台并涵盖全世界 200多个国家 3损失金额高达2040亿至1690亿美金 3对于生产力的影响:Server平均的 downtime:17 小时3损失的工时 24 天 3,1 mi2g Intelligence Unit,Malware Damage in 20042 IDC,Enterprise Security Survey,20043 ICSA Labs,9th Annual Computer Virus Prevalence Survey,大多?的企业或組织已能有效的阻绝從外部网?滲透而?的病毒或攻击,但?法有效的过滤随着IM即时通信、无线接入和邮件引入內部网?所造成的威?。-M
3、ETA Group,Page 5,矛与盾安全威胁和安全防护,矛攻击技术演变RPT快速网络传播病毒和蠕虫(红码病毒,SQL病毒,冲击波,震荡波,Welchia)拒绝服务式攻击(DoS),分布式DoS(DDoS)Day-Zero Threats 首发型威胁(当日中毒,当日迅速传播),盾安全防护技术异常特征检测:应用层,IP协议层在线式防护:边界防火墙,IPS,个人防火墙,防病毒网关旁路式防护:IDS异常行为检测:不寻常形为(high recon activity,syn/syn-ack失衡,异常ping包速率.),Page 6,Day-Zero攻击的模式及应变,攻击流量(数据包/秒),可疑行为,零
4、散攻击,链式传播(RPT),手工清除,寻找感染目标,感染目标,发动攻击,只能在攻击发生后采取人工补救措施,时间,Page 7,新的內网解决方案,时间,侦测可疑的行为 判断感染源或攻击发起者 自动隔离,Page 8,Agenda,内网安全现状分析內网安全设备-Sentriant简介内网安全技术比较总结,Page 9,Sentriant简介,*必须搭配支持 CLEAR-Flow功能的交换机,Sentriant 第一种真正可以部署在网络核心的安全解决方案4个10/100/1000M检测/防护端口、1个10/100/1000M带外管理端口非为 in-line网络设备 不影响网络效能或增加数据包延迟,即
5、使设备故障亦不影响网络运作采行为分析法则,不需要仰赖数据包特征(signatures)可有效的阻绝首发(Day-0)攻击的威胁独特的第二层隔离技术可自动隔离受感染的电脑,且不需要搭配任何特定厂牌的交换机可整合Extremes 独步全球的 CLEAR-Flow 技术,增加数十倍侦测能力并支持10 Gigabit网络环境*,Page 10,网络安全系统构成,Threat Detection-威胁检测Sentriant 设计用于自动发现最具破坏力的安全威胁 快速网络传播的蠕虫病毒(别名 RPTs 快速传播威胁)Sentriant 基于行为分析发现攻击无需 signatures 特征位信息,防护未知病
6、毒基于RPT共性的流量异常现象Mitigation-安全防护Sentriant 提供多种防护措施Active Deception 攻击源欺骗 Snaring 攻击源延迟Cloak 二层ARP欺骗技术,透明隔离攻击源交换机联动ACL包过滤,Page 11,威胁检测机制,Hyper Detection 超级检测基于ARP广播包分析,构建己知/空白主机对应关系,侦测对不存在主机的异常访问行为(如攻击前网络扫描)监控广播数据包,无需交换机端口镜像Threat Assessment Engine(TAE)威胁评估监控Unicast数据包,需配合端口镜像或ClearFlow技术侦测/分析异常通信行为IP/
7、MAC地址欺骗TCP/UDP端口扫描协议错误策略违反DoS 攻击行为,Page 12,威胁检测机制-Hyper Detection,Sentriant 通过802.1Q中继连接用户VLAN,侦听arp广播数据包建立网络主机对应关系,明确真实主机和空白地址 攻击源的侦测访问涉及大量空白地址Sentriant 记录针对空白地址的侦测访问,并产生相关告警事件记录,?,?,?,针对空白IP 地址空间的异常访问行为是真正威肋的早期预警信号,Attacker,有效访问,侦测访问,Page 13,威胁检测机制-TAE,基于主机间所有会话流量分析,要求端口镜像Host Rules主机策略异常主机访问监控:To
8、o many unused、Too many unprotected等Port-based monitoringudp/tcp端口策略Ports across many hosts:Too many SMTP等Ports per host:ports scan端口扫描Packet包策略协议包合法性检查Spoof欺骗策略非法IP和MAC 映射,Page 14,防护措施-Active Deception,Sentriant 通过 virtual decoys 虚拟主机,代为响应非法访问请求Sentriant可仿真各种操作系统主机(如DOS,windows95,windowsXP等)RPT攻击源无法
9、区分真实主机与虚拟主机,尝试攻击不存在的虚拟主机,从而浪费其系统资Sentriant记录所有针对虚拟主机的攻击行为和攻击模式真实主机隐藏在虚拟主机产生的white noise白噪声中,!,Virtual Decoys,!,Virtual Decoys 虚拟主机预警网络扫描行为,!,!,Virtual Decoys,Page 15,防护措施-Snaring,修改 TCP 会话建立过程中的3-way握手过程设置 TCP window size 为zero强制攻击源每次只能发送一个攻击包设置MSS值,强制每个攻击包大小为最小 因为攻击源主机的资源有限,sentriant可通过上述行为,挂住每一个攻击
10、会话,导致攻击源无效会话数累积,从而最终降低其对其它主机的攻击能量,Snaring-虚假响应延续攻击会话存活时间,Attacker,Response,Page 16,防护措施-Cloak,MAC Address,IP Address,攻击源 ARP 表,00:fe:4a:c3:ca:e0,00:fe:ea:d1:32:5a,00:fe:cd:a5:4a:d2,攻击源,目的主机,MAC Address,IP Address,目的主机 ARP表,00:fe:3e:c1:82:0e,00:fe:ea:d1:32:5a,00:fe:cd:a5:4a:d2,攻击包,Cloaking之前,MAC Addr
11、ess,IP Address,攻击源 ARP 表,00:fe:00:00:00:fe,MAC Address,IP Address,目的主机 ARP 表,00:fe:ea:d1:32:5a,00:fe:00:00:00:f2,00:fe:00:00:00:f1,00:fe:00:00:00:fe,00:fe:cd:a5:4a:d2,重定向Arp表,重定向Arp表,Cloaking之后,攻击源,目的主机,当Sentriant侦测到异常行为采取专利申请中的Cloaking技术来隔离攻击源Cloaking 是一种 主动式 隔离技术,它基于二层ARP协议,将攻击流量重定向至Sentriant并过滤。无
12、需额外主机软件,无需交换机配合,Page 17,Sentriant 工作模式,标准模式行为监控,不需要作病毒码更新隔离攻击及感染源,即使攻击狀态下仍能确保公司重要应用的运行安裝过程不需中断任何服务或线路,即使是服务中的网络仍能使用 自动化的威胁隔离整合模式整合具有CLEAR-flow功能的交换机+选择性端口镜像(降低Sentriant的负荷)+侦测来自10GE接口的威胁+动态联动的 ACLs(可透过API动态调整交换机上的ACL),Page 18,Sentriant工作模式1标准模式,Engineering,Finance,通过802.1Q中继端口监听分析广播式攻击包(无需端口镜像)通过交换机
13、镜像端口监听unicast攻击包(需端口镜像),BD 8800,802.1Q Trunk,端口镜像,Page 19,Sentriant工作模式2整合模式,4,Sentriant 分析的结论:是否为真正的网络攻击.,4,3,将疑似攻击流量送往Sentriant 做进一步分析,3,5,如果的确是攻击,指示交换机采取相应的防攻击动作,5,2,CLEAR-flow 支持:有选择的端口镜像,DoS 攻击过滤,2,1,检测到疑似攻击.,1,Page 20,CLEAR-Flow ACL扩展,灵活准确的流量统计及行为分析绝对值计数:packet/byte counters速率计数:packet/byte co
14、unters灵活的计数器间运算分析,发现可疑流量可自定义可疑情况门限值灵活的动态响应:禁止端口 或 VLAN发送 trap 告警信息自动创建 dynamic ACL 用于:将可疑流量分离并重定向至:镜像端口(外接Sentriant做精确分析)sFlow 服务器 NetFlow 服务器丢弃异常流量,Continuous(持续地)Learning(探测)Examination(检查)Action&(采取行动)Reporting(报告),时间,流量,ICMP-request,ICMP-reply,T1,T2,Page 21,CLEAR-Flow监测到的威胁,Page 22,安裝Sentriant前,
15、发动快速攻击,快速攻占网络,严重影响业务运作且难于清除,HIDS&AV Infected Laptop,Page 23,安裝Sentriant后,HIDS&AV Infected Laptop,Cloaking,所有攻击包重定向至sentriant,Page 24,Agenda,内网安全现状分析內网安全设备-Sentriant简介Sentriant与高端交换机整合的优势-CLEAR-flow内网安全技术比较总结,Page 25,Sentriant 比较,Page 26,与IDS/IPS达成全面性防护,IDS/IPS应用层检测,性能要求高IDS只识别己知特征识别signatures/attack
16、s需频繁定期升级,保证最新特征库 覆盖范围小,相对成本高可防止己知 virus/worm慢速攻击(spyware,backdoors,trojans),SentriantL2/L3/L4检测,性能要求低流量行为检测,无需特征识别 signatures有限的攻击行为模式,无需频繁升级监控范围广,相对性价比高主要用于防止病毒/攻击早期快速传播,Sentriant互补IDS/IPS/IDP(特征值检测)Sentriant不是设计来阻绝缓慢攻击,如:间谍软件、病毒/蠕虫注入,Page 27,总结,提供多种整合方案并可使用于多重供应商下的网络环境。非为 in-line网络设备 不影响网络效能或增加数据包延迟,即使设备故障亦不影响网络运作。采行为分析法则,不需要仰赖数据包特征(signatures)可有效的阻绝首发(Day-0)攻击的威胁。独特的第二层(Layer 2)治疗技术可自动隔离受感染的电脑,且不需要搭配任何特定厂牌的交换机。可整合Extremes 独步全球的 CLEAR-Flow 技术,增加数十倍侦测能力并支持10 Gigabit网络环境*。,*When combined with a CLEAR-Flow-enabled switch,
