Download præsentationen
Præsentation er lastning. Vent venligst
Offentliggjort afDavid Mølgaard Redigeret for ca. et år siden
1
Bekæmpelse af orme-angreb med Network Virus Wall
2
Agenda •Orme - truslen mod netværket •Løsningen: Trend Micro Network VirusWall •Implementerings muligheder •Afrunding
3
Virus udviklingen
4
“Tænkt eksempel” Colin er en dygtig sælger hos et større firma: Han rejser meget og kan derfor være ude af kontoret i en længere periode Antivirus er “out of date” Mangler nyeste Microsoft Security patches …..Han starter sin maskine op for at komme på det interne net … sikkert for at få sin maskine opdateret…
7
Firmaets netværk Sasser
8
W32/Sasser.Worm.b
10
Oprydning IT-afdelingen skal: •Identificerer & isolerer inficerede maskiner •Rense dem •Installerer relevante patches Konsekvensen for firmaet: •Så længe oprydningen pågår, arbejdes på nedsat kraft = tabt fortjeneste.
11
Forskelle mellem netværks orme og “traditionelle vira” Hvordan de:Netværk‘s ormeTraditionelle vira Udnytter sårbarheder i operativ systemet eller installerede programmer Idag mest som social-engineering Inficerer Spredes Gennem netværket, via bagdøre (uafhængig af standard netværks porte og protekoller) Virus hæfter sig på en fil, Typisk via mail-attachments AktiveresSelv-eksekverende Kræver at en bruger gør noget aktivt, f.eks. klik på attachment eller link Detekteres Scanning af netværks- traffic Scanning af file-I/O (open/close) actions eller Memory scanning (langsomt)
12
Problem #1 Physical Data link Network Transport Session Presentation Application Traditionelle Antivirus produkter Netværks-orme Spredes på dette niveau
13
BLASTER.A Aug. 11, 2003 Patch: MS03-026 Jul. 16, 2003 SLAMMER NIMDA Patch: MS02-039 Jul. 24, 2002 Patch: MS00-078 Oct.17, 2000 Sept. 18, 2001 Jan. 25, 2003 Time(days) SASSER May 1, 2004 Patch: MS04-011 Apr. 13, 2004 336 185 26 18 Problem #2
14
Netværks scanning Sasser X
15
Damage Clean Up Sasser
16
•Drop inficerede pakker => netværket kan stadig benyttes •Inficerede maskiner sættes i karantæne •Aktiver en rensning af inficerede maskiner med Damage Cleanup Service (DCS) •Effektiv og hurtig, fordi den kun trigger på virus i netværks pakker. Muligheder med Network VirusWall
18
•Check om maskiner der logger på netværket overholder firmaets Antivirus politik: –Trend Micro •Serverprotect •OfficeScan •PC-Cillin –Symantec: Norton Anti-virus CE –NAI: McAfee med ePO agent Muligheder med Network VirusWall
19
•Check om maskiner der logger på netværket overholder firmaets “patch politik”: •Bloker for adgang gennem NVW •Re-derigerer brugere til update site •Brugere aktiverer ny patch-scanning og får adgang Muligheder med Network VirusWall
20
Outbreak Monitor på netværket Traffic Volume ●High 19000 Connections ●Medium 9500 Connections ●Low 4750 Connections Monitor Sensitivity ●High 10 Seconds ●Medium 20 Seconds ●Low 30 Seconds
21
Eksempel: WORM_BAGL E.X Outbreak Prevention Service
22
NVW Familien Sikring af enheder Sikring af segmenter Sikr. segmenter, servere NVW 1200 NVW 2500 NVW 300 NVW 300 Sikring af mission-critical enheder som f.eks. hæveautomater, kasseapperater, medicotekniske enheder, produktionsovervågnings udstyr) NVW 1200 Sikring af netværket mod “mindre sikre net”, som f.eks. VPN og WLAN NVW 2500 Sikring af multiple segmenter og servere
23
Sammenligning NVW 300NVW 1200NVW 2500 Interfaces1 EXT + 4 INT1 EXT + 1 INT1 EXT + 4 INT el 2 EXT + 2 INT Interface Speed (configurable upto) 100 Mbit/sek FD 1000 Mbit/sek FD Interface TypeCopper Copper + Fiber (SW - Version 1.8) Firewall (SPI)Ja, ind og udNej HANej Ja Throughput~ 30 Mbit/sek~ 180 Mbit/sek~ 1.2 Gbit/sek Policy Enforcement NejJa VLAN-supportNejJa
24
Placering i VPN
25
WLAN
26
High Availability Backup NVW er altid klar, hvis den aktive NVW skulle fejle.
27
Server PC Switch /Router Switch Router Back office NVW 300 X CM Alert Banken’s hovedkontor Lokal kontor LAN Hæveautomater
28
Spørgsmål
Lignende præsentationer
© 2024 SlidePlayer.dk Inc.
All rights reserved.