Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п. Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.

Заранее спасибо.

• Cisco 2821. Как определить наличие вирусного траффика у клие...,fantom, 15:14 , 11-Мрт-09
• Cisco 2821. Как определить наличие вирусного траффика у клие...,bokl, 15:14 , 11-Мрт-09
• Cisco 2821. Как определить наличие вирусного траффика у клие...,Punks, 10:09 , 12-Мрт-09
• Cisco 2821. Как определить наличие вирусного траффика у клие...,ilya, 10:14 , 12-Мрт-09
  • Cisco 2821. Как определить наличие вирусного траффика у клие...,fantom, 10:24 , 12-Мрт-09
    • Cisco 2821. Как определить наличие вирусного траффика у клие...,ilya, 10:38 , 12-Мрт-09
• Cisco 2821. Как определить наличие вирусного траффика у клие...,test, 06:36 , 14-Мрт-09

>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>
>Заранее спасибо.

netflow для начала и посмотреть...
По IP-у.

>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>
>Заранее спасибо.

если знать на каком порту вирь работает, то можно повесить аксеслист и смареть срабатывания. заодно зарежешь этот трафик.

>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>
>Заранее спасибо.

Я вешаю acl
permit ip any any log
и смотрю что в логи падает.
Или как вариант врубить nbar protocol-discovery на интерфейсе и проанализовать что за трафик ходит.

>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>
>Заранее спасибо.

IOS IPS?
Правда нужно много памяти и флэща.

>>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>>
>>Заранее спасибо.
>
>IOS IPS?
>Правда нужно много памяти и флэща.

Хм.. Память kingston KVR400X72C3A/512 цена 50$ за модуль - жужжит аж бегом.
Flash CF 1Gb x120 кажется - никаких проблем... цена была 20$
итого 120$ и у вас 2821 нафарширована выше крыши.

>[оверквотинг удален]
>>>
>>>Заранее спасибо.
>>
>>IOS IPS?
>>Правда нужно много памяти и флэща.
>
>Хм.. Память kingston KVR400X72C3A/512 цена 50$ за модуль - жужжит аж бегом.
>
>Flash CF 1Gb x120 кажется - никаких проблем... цена была 20$
>итого 120$ и у вас 2821 нафарширована выше крыши.

угу. но 120$ это 120$ - кризис все таки ;)
еще бы купить нужный ИОС и контракт на обновления - и будет щастье ;)

>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>
>Заранее спасибо.

а вирусный трафик известно по каким портам работает? ;)
я делаю, на циске с включеным нетфлоу

show ip cac flow | inc 0019  

где 0019 это 25 smtp порт в hex формате

потом получаешь кучу строчек с трансляциями своих клиентов
те у кого одновременных трансляций больше чем 5, на разные адреса - заражены.