思科ASA的新型僵尸网络流量探测器优缺点终极剖析

ZDNet安全频道原创翻译 转载请注明作者以及出处

在本文中，洛里·海德介绍了思科ASA防火墙最新版本提供的僵尸网络流量检测功能。并且对其在现实世界中的应用进行了预测。
-------------------------------------------------------------------------------------------

　　思科公司已经将ASA的软件版本更新为8.2，在这次更新中，提供了很多新功能，其中最值得注意的一项就是僵尸网络流量过滤器(需要获得许可)。对于公司来说，僵尸网络带来的最大麻烦在于往往很难确认受感染主机的位置。有了新提供的流量过滤功能，确认过程将变得更加容易，不过，我对此功能持怀疑态度，它看上去太出色了，以至于感觉不象是真的。

　　和通常一样，思科建议在纵深防御模式下使用该功能作为安全检测和优化工具。尽管是这么说的，但还是让我们来深入了解一下僵尸网络流量过滤器的工作过程。

　　思科ASA僵尸网络流量探测器可以对被感染主机发送到远程服务器上的流量进行过滤和控制。它可以监测所有的网络地址、端口和协议，并根据包含了不断更新的恶意网络地址和域名信息的内部数据库对流量进行分类控制。一旦发送僵尸网络流量的主机和控制服务器被确定，我们就可以利用访问控制列表或者“shun”等常见的流量控制措施对其进行控制，并对受感染主机进行安全处理。

　　ASA僵尸网络流量探测器有三个主要部分组成：

　　1、黑名单数据库

　　2、流量分类和报告工具

　　3、DNS监听工具

　　黑名单数据库

　　对于僵尸网络流量探测器来说，最重要的支持是来自思科安全情报行动中心(CSIOC)。该中心宣称拥有全球覆盖面积最大的安全设备群，通过思科和第三方报告收集了最多最及时的安全信息，是专注于动态威胁最大的安全基地。CSIOC提供的是包含““已知的恶意”域名和网络地址”信息的数据库。该数据库可以定期更新和动态下载到ASA上。此外，你可以可以根据所在的特定环境建立单独的黑名单和白名单(已知无害)。

　　流量分类和报告工具

　　在数据进行传输的时间，ASA可以根据列表对源和目标网络地址以及端口进行对比分析。匹配黑名单的信息将会被ASA管理器记录，并发送到系统日志服务器上。ASA管理器将根据恶意网站访问量的统计结果确认受感染主机。

　　DNS监听工具

　　DNS监听工具是用来对网络地址到域名系统的数据进行监控的，它可以对包括动态数据库或者本地列表在内的数据信息进行分析。DNS监听工具可以对UPD(不是TCP)连接的DNS响应信息进行监控，并且可以创建DNSRC(DNS反向缓存)来匹配对应域名的网络地址。需要注意的是：这项功能仅仅在互联网模式下才能启用，该黑名单数据库只包含了互联网路由网络地址(而不是内部网络地址)。

　　仍然存在的一些问题

　　该软件可以支持ASA的所有型号，但对于5505和5510来说，一定要阅读说明文件中关于内存的建议。

　　实际上，事实是尽管还没有使用过这项功能，但一些疑问已经在我的脑海中出现。回顾自己进行过的僵尸网络流量控制工作，我想…

　　· 黑名单数据库的容量有多大?

　　· 它的更新频率是多长时间?

　　· 对于系统性能与吞吐量来说，该过滤器会带来什么样的影响?

　　· 如果出现误报该怎么办?

　　· 如何对警告进行验证(证实)?

　　我将更新实验室设备，并对发现的结果及时进行更新。在此同时，还会继续了解思科ASA　8.2版软件提供的其它新功能。如果你也已经在使用该功能了，请告诉我们你在使用过程中的感受。