锐捷网络:联动网络+安全,预防校园变“矿场”

网络
锐捷防挖矿木马方案出口部署锐捷防火墙,同时核心交换机旁挂流量探针。联动腾讯云安全平台,采用流量检测技术精准识别挖矿木马。

校园网用户数量大、接入端口多,具有一定的隐藏便利性,极易成为挖矿木马攻击的对象,许多高校深受其害。与此同时,网信办等多部门在9月份联合发布《关于整治虚拟货币“挖矿”的通知》,对虚拟货币“挖矿”活动监管升级。锐捷深入洞察高校校园网络场景,如何不让校园变“矿场”,保护校园网络的安全,锐捷给出了“网络+安全”的解决方案。

什么是挖矿木马?它会给校园带来什么危害?

通过大量计算机的运算获取虚拟货币被称为“挖矿”,而在受害者不知情的情况下,非法在其电脑里植入的挖矿程序称为挖矿木马。挖矿木马会严重占据主机算力资源,干扰正常业务运行。同时消耗大量电力,与当前的能源战略、碳中和战略背道而驰。甚至有高校被挖矿木马入侵招生网站,严重影响正常工作开展。多家高校因对校园挖矿监管不到位而被通报批评。

其实在挖矿木马爆发趋势显现之初,许多高校就开始了防范的探索,但当下仍然遇到了难题:

第一, 已经建有防火墙却形同虚设。一方面一些防火墙开启防病毒后性能大幅下降,无法满足防护要求。另一方面,一些防火墙防护手段不完善,依然踩了通报“高压线”。

第二, IP告警溯源困难。校园网多为DHCP环境,目前防火墙多基于IP告警,需要运维老师查询多个日志才能进行溯源。高校学生数量众多,运维老师往往只有几人,面对大量告警的实时处理难免力有不逮。

第三,无法抑制病毒横向扩散。挖矿木马的防治和疫情的防控是相似的:除了避免外来的传染源,内部有了传播苗头也要及时切断,才能将危害降到最低。只通过出口拦截的方式无法彻底治理病毒。

那么,高校如何全面排查整治虚拟货币“挖矿”活动,营造安全有序的校园网络环境?锐捷结合高教场景特点,给出了自己的解法:发掘网络设备安全能力,联动安全设备从整体架构解决挖矿难题。

高校木马防护方案整体架构

高校木马防护方案整体介绍

1.无忧防通报,不踩“高压线”

锐捷防挖矿木马方案出口部署锐捷防火墙,同时核心交换机旁挂流量探针。联动腾讯云安全平台,采用流量检测技术精准识别挖矿木马。 

挖矿木马入侵的常规步骤是先发起挖矿相关的DNS域名申请,然后根据DNS返回的IP,发起到矿池的登录和交互。传统的方案需要首先检测域名,然后针对后续的IP通讯进行阻断。虽然也起到阻隔挖矿的效果,但是由于放行DNS解析过程,容易被监管部门监测系统识别、通报。
锐捷与腾讯云安全联动,将挖矿DNS域名一网打尽,主机一旦发起对挖矿域名的申请,态势感知与防火墙立刻就能将其隔断,直接阻止其解析过程,避免被通告。同时流量探针对流量进行深度识别,哪怕挖矿木马更隐蔽,直接在主机里写IP也不用担心,流量探针的识别库可以根据钱包字段、秘钥交互等挖矿的特征行为将其精准识别,全面封堵挖矿病毒。

威胁情报和腾讯云安全联动

2. 精准定位学号,解放运维老师

在将挖矿木马的DNS拦截后,需要对其进行治理,被通报的则要举证完整的证据链。锐捷采用防火墙与态势感知(BDS)和身份认证(SAM)联动的架构,将SAM中学生/老师的账号、IP、时间信息与防火墙等安全设备中的告警、IP、时间信息在BDS中进行匹配,可以轻松得出包括学号、时间和具体告警信息的完整的溯源。
这样可以统一时间集中溯源和处理挖矿主机,显著提升了运维效率。且解决方案定位的不是IP地址而是学号,运维老师可以直接通过学号联系到需要进行杀毒操作的老师和同学,规避了DHCP环境下无法精准定位人员的问题。

BDS联动SAM+实名定位到账号

3.阻断横向扩散,遏制内部传播

对于挖矿木马的整治,防通报只是一方面,形成有效的治理体系才是关键。目前业界大部分方案都是在网络边界部署安全设备,这样无法阻止病毒在内部传播。部分挖矿木马还具备蠕虫化的特点,可以渗透内网,严重威胁服务器安全。

锐捷态势感知实现与交换机联动,通过收集交换机Sflow采样,实现全校东西向挖矿流量的识别阻断。在态势感知平台识别感染主机后,同时下发策略给交换机,在端口将中毒主机下线,阻断挖矿木马内部的横向病毒复制,挖矿整治更加彻底。

BDS下发策略给交换机,阻断横向扩散

锐捷深耕教育行业,深入洞察校园网络应用与监管场景。针对高校的防挖矿场景,以校园网整体架构出发,充分发掘现有网络设备安全能力,通过出口封堵,实名溯源,内部阻断等三重手段,实现挖矿病毒的快速发现和阻断、准确定位、避免传播,为清朗安全的校园网络环境保驾护航。

 

责任编辑:张燕妮 来源: 锐捷
相关推荐

2013-09-24 14:18:12

教育信息化锐捷网络

2015-05-05 14:36:05

高校网络锐捷

2020-05-08 13:18:44

网络安全锐捷网络

2014-05-28 09:16:14

锐捷网络云课堂云课堂

2010-05-28 13:23:45

IPv6校园网

2011-05-26 11:53:53

锐捷网络

2014-09-02 09:14:11

锐捷

2014-09-30 08:58:04

锐捷

2014-11-13 09:03:46

锐捷

2014-12-01 09:12:27

锐捷

2014-12-18 09:09:10

锐捷

2012-11-23 14:21:34

锐捷RIILBYOD

2011-04-18 13:45:43

锐捷云校园网教育信息化

2014-08-21 09:09:28

锐捷

2014-09-11 09:12:52

锐捷

2014-09-17 09:06:43

锐捷

2014-10-10 09:05:54

锐捷

2014-10-15 09:10:49

锐捷

2014-10-29 09:06:57

锐捷

2014-11-13 09:00:58

锐捷
点赞
收藏

51CTO技术栈公众号