“联动网络+安全”预防校园变“矿场”

2021-02-11 08:09国同光
计算机与网络 2021年24期
关键词:挖矿交换机木马

国同光

校园网用户数量大、接入端口多,具有一定的隐藏便利性,极易成为挖矿木马攻击的对象,许多高校深受其害。与此同时,网信办等多部门在2021年9月联合发布《关于整治虚拟货币“挖矿”的通知》,对虚拟货币“挖矿”活动监管升级。如何不让校园变“矿场”,保护校园网络的安全,锐捷给出了“网络+安全”的解决方案。

挖矿木马会给校园带来什么危害

通过大量计算机的运算获取虚拟货币被称为“挖矿”,而在受害者不知情的情况下,在其电脑中非法植入的挖矿程序称为挖矿木马。挖矿木马会严重占据主机算力资源,干扰正常业务运行。同时消耗大量电力,与当前的能源战略、碳中和战略背道而驰。甚至有高校招生网站被挖矿木马入侵,严重影响正常工作,已经有多家高校因对校园挖矿监管不到位而被通报批评。

其实在挖矿木马爆发趋势显现之初,许多高校就开始了对其防范的探索,但当下仍然遇到了一些难题。

第一,已经建有防火墙却形同虚设。一方面,一些防火墙开启防病毒后性能大幅下降,无法满足防护要求;另一方面,一些防火墙防护手段不完善,依然踩了通报“高压线”。

第二,IP告警溯源困难。校园网多为DHCP环境,目前防火墙多基于IP告警,需要运维老师查询多个日志才能进行溯源。高校学生数量众多,运维老师往往只有几人,面对大量告警的实时处理难免力有不逮。

第三,无法抑制病毒横向扩散。挖矿木马的防治和疫情的防控是相似的:除了避免外来的传染源,内部有了传播苗头也要及时切断,才能将危害降到最低。只通过出口拦截的方式无法彻底治理病毒。

那么,高校如何全面排查整治虚拟货币“挖矿”活动,营造安全有序的校园网络环境?锐捷结合高教场景特点,给出了自己的解法:发掘网络设备安全能力,联动安全设备从整体架构解决挖矿难题。

无忧防通报,不踩“高压线”

锐捷防挖矿木马方案部署锐捷防火墙,同时核心交换机旁挂流量探针,联动腾讯云安全平台,采用流量检测技术精准识别挖矿木马。

挖矿木马入侵的常规步骤是先发起挖矿相关的DNS域名申请,然后根据DNS返回的IP,发起到矿池的登录和交互。传统的方案需要首先检测域名,然后针对后续的IP通信进行阻断。虽然也起到阻隔挖矿的效果,但是由于放行DNS解析过程,容易被监管部门监测系统识别、通报。

锐捷与腾讯云安全联动,将挖矿DNS域名一网打尽,主机一旦发起对挖矿域名的申请,态势感知与防火墙立刻就能将其隔断,直接阻止其解析过程,避免被通告。同时流量探针对流量进行深度识别,哪怕挖矿木马更隐蔽,直接在主机中写IP也不用担心,流量探针的识别库可根据钱包字段、秘钥交互等挖矿的特征行为将其精准识别,全面封堵挖矿病毒。

精准定位学号,解放运维老师

在将挖矿木马的DNS拦截后,需要对其进行治理,被通报的则要举证完整的证据链。锐捷采用防火墙与态势感知(BDS)和身份认证(SAM)联动的架构,将SAM中学生/老师的账号、IP、时间信息与防火墙等安全设备中的告警、IP、时间信息在BDS中进行匹配,可以轻松得出包括学号、时间和具体告警信息的完整溯源。

这样可以统一时间集中溯源和处理挖矿主机,显著提升了运维效率。解决方案定位的不是IP地址而是学号,运维老师可以直接通过学号联系到需要进行杀毒操作的老师和同学,规避了DHCP环境下无法精准定位人员的问题。

阻断横向扩散,遏制内部传播

对于挖矿木马的整治,防通报只是一方面,形成有效的治理体系才是关键。目前业界大部分方案都是在网络边界部署安全设备,这样无法阻止病毒在内部传播。部分挖矿木马还具备蠕虫化的特点,可以渗透内网,严重威胁服务器安全。

锐捷态势感知实现与交换机联动,通过收集交换机Sflow采样,实现全校东西向挖矿流量的识别阻断。在态势感知平台识别感染主机后,同时下发策略给交换机,在端口将中毒主机下线,阻断挖矿木马内部的横向病毒复制,挖矿整治更加彻底。

锐捷深耕教育行业,深入洞察校園网络应用与监管场景。针对高校的防挖矿场景,以校园网整体架构出发,充分发掘现有网络设备安全能力,通过出口封堵、实名溯源、内部阻断等三重手段,实现挖矿病毒的快速发现和阻断、准确定位、避免传播,为清朗安全的校园网络环境保驾护航。

猜你喜欢
挖矿交换机木马
疯狂的“挖矿”
骑木马
矿工“杀红眼”!一切皆可挖矿
供电紧张,伊朗禁挖比特币4个月
消灭木马等
浅谈交换机CAN基本配置
罗克韦尔发布Strat ix 5410分布式交换机
小木马
信息网络中交换机的分类和功能
DHCP Snooping模式的部署