今日导读
热点推荐
ZOL首页 > 经销商频道 > 渠道行情︱导购 > VLAN安全设计之防网络病毒设计方案

VLAN安全设计之防网络病毒设计方案


作者:中关村在线 zoler 【原创】 CBSi中国·ZOL 2015年10月09日 15:53 [评论]



VLAN安全设计包括VLAN、VLANRouting两部分。

1)、VLAN

虚拟局域网(VLAN)技术是为了解决桥接的局域网中存在的广播风暴,以及网络系统的可扩展性、灵活性和易管理性方面的问题,第二层交换机基本上都支持VLAN划分。在局域网设计中,我们可以根据不同部门划分VLAN。VLAN技术的采用为网络系统带来了以下的优点:

l 控制广播

VLAN之间是相互隔离的,所有的广播和多点广播都被限制在一个VLAN的范围内,即一个VLAN产生的广播信息不会被传播到其它的VLAN中,有效地防止了局域网上广播风暴的产生,提供了带宽的利用率。

l 提高安全性

由于VLAN之间是相互隔离的,因此可将高安全性要求的主机服务器可划分到一个VLAN中,而其它VLAN的用户则不能访问它们。如果VLAN之间要进行通信则必需通过三层交换机才能完成,而三层交换机上具有访问控制(Access-List)以及防火墙等安全控制功能,因此VLAN之间的访问可以通过三层交换机进行控制。

l 提高性能

通过VLAN的划分,可将需访问同一服务器/服务器组的用户放到同一个VLAN中,这样该VLAN内部的服务器只由本VLAN内的成员访问,其它VLAN的用户不会影响服务器的性能。

l 便于管理

由于VLAN的划分是逻辑上的,因此用户不再受到物理位置的限制,任意位置的用户可以属于任意一个VLAN,VLAN内的成员可以任意地增加,修改和删除,使得网络管理更加简便易行。

2)、VLAN Routing

每一个VLAN 都具有一个标识,不同的VLAN 标识亦不相同,交换机在数据链路层上可以识别不同的VLAN标识,但不能修改该VLAN标识,只有VLAN标识相同的端口才能形成桥接,数据链路层的连接才能建立,因而不同VLAN的设备在数据链路层上是无法连通的。VLAN Routing技术在网络层将VLAN标识进行转换,使得不同的VLAN间可以沟通,而此时基于网络层、传输层甚至应用层的安全控制手段都可运用,诸如Access-list(访问列表限制)等,VLAN Routing 技术使我们获得了对不同VLAN间数据流动的强有力控制。

2.5.2  防网络病毒设计

现在网络病毒对网络的冲击影响已经越来越大,如非常猖狂的红色代码(codered)、冲击波(MS Blaster)等网络病毒,所以有必要对网络病毒继续有效的控制。

红色代码病毒--蠕虫、特洛伊木马、黑客结合的双特征病毒恶意IP地址扫描,病毒向按一定算法生成的IP网段的IP地址的80端口发送HTTP GET请求,请求连接成功,就会发送包含缓冲溢出的代码,导致一些没有打补丁的IIS服务器缓冲溢出,此主机遭受感染; 遭受病毒感染的服务器在后台开辟600个线程用于扫描,占用了大量系统资源,并再次感染其它主机,并对其WEB服务器80端口发起长度为66字节的SYN请求包的DoS攻击。病毒大量扫描和DoS攻击导致网络路由器和三层交换机过载,表现为用户上网速度变慢,网络阻塞。性能不高的路由器和三层交换机最有可能过载。根据监听分析通过一个60多台IIS服务主机的网络,REDCODE内外相互攻击包每秒通过路由器平均达4239个,传播速度非常惊人;如下图:


VLAN安全设计之防网络病毒设计方案

红色代码及其变种利用微软IIS远程缓存溢出的漏洞获得系统权限,并在这个感染的Web服务器上拷贝一个后门程序,在IIS上设置完全共享的虚拟目录,给黑客完全的访问权限,从而可以全面控制被攻击网络的全部资源,对网络的安全构成极高的威胁。

在这里可以利用接入层交换机的ACL来关闭网段内所有普通主机的被扫描端口80(这样,造成的后果无非是普通上网人员无法提供WEB服务了——事实上也不应该让普通上网人员具备提供WEB服务的功能),这样可以杜绝大面积病毒传播,同时可以将病毒的影响控制在接入层,使核心设备不至于因为病毒的影响而使网络终断。另外,也提供充足的时间让网络中的客户进行杀毒、修复等,等攻击隐患消除后,再开启对应的服务端口(需要提供Web服务的服务器)。

冲击波病毒--蠕虫病毒,针对Microsoft Windows远程缓冲区溢出漏洞的蠕虫。因为该漏洞影响所有没有安装MS03-026补丁的Windows2000、Windows XP、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害极大。

l 蠕虫感染系统后首先检测是否有名为“BILLY”的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。然后蠕虫会在注册表中添加以下键值:“windows auto update”=“msblast.exe”以保证每次用户登录的时候蠕虫都会自动运行。

l 蠕虫在本地的UDP/69端口上建立一个tftp服务器,用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。

l 蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上用ICMP 扫描的方法选择目标攻击,即发送大量的ICMP报文(Ping包)。

l 一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。

l 如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。

l 然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。

遭到冲击波病毒感染的计算机会出现如下症状:

1、    用户上网变慢,ping丢包严重;

2、    莫名其妙地死机或重新启动计算机;

3、    IE浏览器不能正常地打开链接;

4、    不能复制粘贴;有时出现应用程序,比如Word异常。

另外,攻击者成功利用此漏洞可以以本地系统权限执行任意指令,可以在系统上执行任意操作,如安装程序、查看或修改、删除数据或建立系统管理员权限的账户。

在这里可以利用接入层交换机的ACL来关闭ICMP服务,以及相应端口,达到控制冲击波病毒传播的目的。

rule 0 deny tcp any any eq 135    

阻止感染病毒的PC向其它正常PC的135端口发布攻击代码

rule 1 deny udp any any eq tftp 

限制目标主机通过tftp下载病毒。

rule 2 deny icmp any any

阻断感染病毒的PC向外发送大量的ICMP报文,防止其堵塞网络。           

然后将其应用在相应网口,例如fa0/1

int E0/1

packet-filter inbound acl-group number

这样即可阻断Blaster蠕虫病毒的传播。

由以下商家提供方案:

[商家名称]北京鼎和时代

[联系电话] 010-59795807  13911561243

[联系地址] 北京市海淀区大钟寺13号华杰大厦B座8层8B17室

更多关于 ANYSEC 的促销信息