你的网络上有僵尸网络控制的主机吗?你的主机是否被恶意软件或间谍软件感染,试图“打电话回家”?你怎么知道?一种方法是使用Cisco ASA新的第4层流量监控(L4TM)特性。L4TM检测感染的客户端跟踪流氓“电话回家”流量。思科ASA第4层流量监控功能,旨在检测命令和控制和数据上传流量的机器人,恶意软件,间谍软件流动通过ASA回到他们的“总部”。为了使用ASA实现这种检测,思科利用了其Ironport Web安全设备(WSA)产品中已有的技术。让我们看看僵尸网络感染通常是如何发生的,以及思科ASA的新功能如何帮助检测它。僵尸网络感染过程:1)客户端以某种方式感染了恶意软件,间谍软件或其他僵尸网络类似的利用。这些感染大多是通过网站或电子邮件发生的。 2) Infected clients then communicate with a command and control site(s) on the Internet. 3) Depending on the type of exploit it will then launch some type of attack. Common examples are Denial of Service Attack, Spam relaying, Adware infection, Identity theft, keyboard logging, data theft, click fraud, upload of confidential data, reconnaissance, an many others. The commonality is that all of these will need to talk back to their “mothership” in some manner to be worth anything to the hacker. Layer 4 Traffic Monitor Botnet detection process: 1) Cisco ASA is configured to retrieve and install the Cisco Botnet database from Ironport.com. The ASA will then dynamically check every 60 minutes for updates to the Botnet database. 2) ASA L4TM feature compares the destination addresses flowing through its interfaces with those in its Botnet database. It is looking for matches which would indicate the destination IP is malicious. 3) When a match is encountered an alert will be sent to ASDM and syslog with the details of the source IP and malicious destination IP. Given that all Botnets exhibit this type of command and control behavior, the Botnet traffic filter would be able to accurately alert you when hosts on your network are compromised. The Botnet dynamic database will detect attacks from 11 different main threat types. These are shown below:
除了动态僵尸网络数据库,ASA还支持静态数据库,您可以填充自己的黑名单和白名单条目。您可以在静态数据库中添加多达1000个黑名单条目和1000个白名单条目。见下面的图:
要打开僵尸网络流量过滤器,请到下面的新的僵尸网络流量过滤器配置部分配置>防火墙>僵尸网络流量过滤器。您可以为所有接口和所有流量打开该特性,也可以仅指定某些接口和某些流量(使用ACL)。见下面的图:
整个Cisco ASA 5500系列(从ASA 5505到ASA 5580)都支持这个特性。它需要ASA 8.2和ASDM 6.2代码。需要一个30天的评估许可证,可以从思科合作伙伴获得。L4TM的价格在撰写本文时还没有确定。请注意,僵尸网络流量过滤器会耗尽ASA上的一些RAM。然而,这通常只是ASA5505和5510型号上的一个潜在问题。如果您禁用ASA上的威胁检测,这将释放内存。如果您需要对ASA5510进行内存升级,您可以从6月开始进行内存升级。更多信息在思科ASA僵尸网络流量过滤看到www.cisco.com/go/btf或http://www.cisco.com/en/US/solutions/collateral/ns340/ns394/ns171/ns441/networking_solutions_whitepaper0900aecd8072a537.html ASA 8.2发行说明可以在这里找到:http://www.cisco.com/en/US/docs/security/asa/asa82/release/notes/asarn82.html ASA 8.2配置文档可以在这里找到:http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/config.html您是否有一个现有的产品或过程可以让您检测到网络上的僵尸网络? Will you be upgrading to ASA 8.2 code to use this feature? I’d also like to hear any feedback from those that have used it already.
在此陈述的观点和信息是我的个人观点,而不是我的雇主。我绝不是我雇主的官方发言人。
Jamey Heary报道。 信用卡扒窃:小偷如何在你不知道的情况下偷走你的信用卡信息 思科进入拥挤的AV和DLP客户市场 思科新的ASA代码允许您在任何地方安全地携带思科IP电话 思科的目标是赛门铁克和McAfee的新防病毒客户端 谷歌的Chrome引发了安全问题,尝起来就像>的凤爪去 杰米的博客 浏览更多有关安全性的文章。*
*
*
*
*