Virus Port 를 막자 !!

Cisco Router 에서의 방어 요령
Monitoring
Netflow 활용을 통한 탐지
Defense
Blaster Worm
TCP 135/4444,UDP 69 유입방어
Nachi/Welchia
TCP 135/707,UDP 69 유입방어
외,내부 ICMP 유입방어
내부 ICMP limit – CAR
내부 유해ICMP 선택 방어  - PBR,MQC


##########  Cisco Router에서의 방어 요령 Blaster worm Monitoring  ##########

Netflow Enable
Router(config)#ip cef
Router(config)#interface fastethernet 0 (Monitoring 하려는 Interface에 적용)
Router(config-if)#ip route-cache flow (Netflow 적용)

Netflow Monitoring
Router#show ip cache flow  Netflow에 대한 전체적인 결과값
<Netflow에서의 Service Port 결과물은 16진수로 표기되므로 10진수 변환필요>
Router#show ip cache flow | include 0087  135번 결과물 추출
Router#show ip cache flow | include 115C  4444번 결과물 추출

예제

Router#sh ip cac flow | inc 0087
Gi0/0         192.168.8.177   Null          192.170.40.10   06 07CB 0087     1
Gi0/0         192.168.8.177   Null          192.170.40.9    06 07CA 0087     1
Gi0/0         192.168.8.177   Null          192.170.40.8    06 07C9 0087     1
Gi0/0         192.168.8.177   Null          192.170.40.7    06 07C8 0087     1


##########    TCP 135번, 4444번, UDP 69번 차단   ##########

예제

access-list 100 deny udp any any eq 69
access-list 100 deny tcp any any eq 135
access-list 100 deny tcp any any eq 4444
access-list 100 permit ip any any

interface <적용 interface>
ip access-group 100 in

주의 사항 : TCP 135 번 Port 사용용도가 Site 특성상 각각 다르므로 주의해서 Blocking 시켜야 함.


##########     TCP 135 번 port 사용용도    ##########
DHCP/WINS Managerservice
Exchange client/server 통신/Administrator service
RPC TCP:135


`````````````````````````
Netflow Enable
Router(config)#ip cef
Router(config)#interface fastethernet 0 (Monitoring 하려는 Interface에 적용)
Router(config-if)#ip route-cache flow (Netflow 적용)

Netflow Monitoring
Router#show ip cache flow  Netflow에 대한 전체적인 결과값
<Netflow에서의 Service Port 결과물은 16진수로 표기되므로 10진수 변환필요>
Router#show ip cache flow | include 0000  ICMP 결과 추출
Router#show ip cache flow | include 02C3  707번 결과물 추출

예제
Router#sh ip cac flow | inc 0000 0800
Gi0/0         192.168.8.177   Null          192.170.40.10   01 0000 0800     1
Gi0/0         192.168.8.177   Null          192.170.40.9    01 0000 0800    1
Gi0/0         192.168.8.177   Null          192.170.40.8    01 0000 0800     1
Gi0/0         192.168.8.177   Null          192.170.40.7    01 0000 0800     1


##########     TCP 135번, 707번, UDP 69번 차단,ICMP 차단    ##########

MS 권고 사항 : TCP135,139,445,593,UDP135,137,38 차단
http://www.microsoft.com/korea/security/bulletin/VN03 -009.asp
예제

access-list 100 deny udp any any eq 69
access-list 100 deny tcp any any eq 135
access-list 100 deny tcp any any eq 707
access-list 100 deny icmp any any
access-list 100 deny icmp any any echo-reply
<MS 권고안 대로 TCP139,445,593 UDP 135,137,38 추가 가능>
access-list 100 permit ip any any

interface <적용 interface>
ip access-group 100 in

      주의 사항
내부 Ethernet Interface 에 ACL 적용시 외부로 ICMP를 차단하게 되므로, Network 진단에 Issue발생할 가능성이 있으므로, 관리자의 정책에 따라 설정해야 함.


##########     Cisco Router에서의 방어 요령     ##########
Nachi/Welchai worm Defense – CAR를 통한 Defense 구성 방법 및 모니터링

        ACL을 통한 Marking

Router(config)#access-list 177 remark "ICMP_limit_marking"
Router(config)# access-list 177 permit icmp any any
Router(config)# access-list 177 permit icmp any any echo
Router(config)# access-list 177 permit icmp any any echo-reply
해당 Interface 적용(내부 Ethernet Interface)
Router(config-if)#rate-limit input access-group 177 8000 1000 1000 conform-action transmit
                         exceed-action drop
ACL 177번에 해당하는 Traffic이 8000bps 이상이면 Drop, 즉 ICMP packet이 8Kbps이상이면 Drop
Normal과 Maximum burst Size, Limit 양은 관리자 임의 조정 가능
Monitoring 방법
Router#sh interfaces fastEthernet 0 rate-limit
FastEthernet0 "내부망"
  Input
    matches: access-group 177
      params:  8000 bps, 8000 limit, 8000 extended limit
      conformed 599 packets, 151070 bytes; action: transmit
      exceeded 527 packets, 623618 bytes; action: drop
      last packet: 280ms ago, current burst: 7896 bytes
      last cleared 00:02:22 ago, conformed 8000 bps, exceeded 35000 bps


##########     Cisco Router에서의 방어 요령      ##########
Nachi/Welchai worm Defense – PBR을 통한 Defense 구성 방법 및 모니터링

        ACL을 통한 Marking

Router(config)#access-list 187 remark "ICMP_PBR_marking"
Router(config)# access-list 187 permit icmp any any echo
Router(config)# access-list 187 permit icmp any any echo-reply

       PBR Rule setup
Router(config)#route-map worm permit 10
Router(config)#match ip address 187   PBR에 적용시킬 ACL 정의
Router(config)#match length 92 92  적용된 ICMP Packet 중 Ethernet Frame 포함 92Byte에 적용
Router(config)#set interface Null 0  92Byte ICMP Packet은 Null 0 Interface로 보내어짐

      해당 Interface 적용
Router(config-if)#ip policy route-map worm

Monitoring 방법
Router#sh route-map worm
route-map worm, permit, sequence 10
  Match clauses:
    ip address (access-lists): 187
  Set clauses:
    interface Null0
  Policy routing matches: 4165 packets, 440770 bytes
      Policy에 적용되어 Null 0로 보내어진 Packet 및 Data 크기


##########     Cisco Router에서의 방어 요령      ##########
Nachi/Welchai worm Defense – MQC를 통한 Defense 구성 방법 및 모니터링

        ACL을 통한 Marking
Router(config)#access-list 197 remark "ICMP_MQC_marking"
Router(config)# access-list 197 permit icmp any any echo
Router(config)# access-list 197 permit icmp any any echo-reply
       PBR Rule setup
Router(config)#class-map match-all class_worm   정책에 포함 시킬 Class Group 정의
Router(config-cmap)#match access-group 187     해당 Class에 적용될 ACL Marking
Router(config-cmap)#match packet length min 92 max 92  Marking된 ACL 가운데 92Byte만 적용
Router(config)#policy-map policy_worm    정책 정의  
Router(config-pmap)#class class_worm     정책에 포함될 Class
Router(config-pmap)#drop   해당 Class의 Action

      해당 Interface 적용
Router(config-if)#service-policy input policy_worm
Router(config-if)#service-policy output policy_worm
Monitoring 방법
Router#sh policy-map interface fa 0
FastEthernet0
  Service-policy input: policy_worm
    Class-map: class_worm (match-all)
      5 packets, 530 bytes    적용되어 Drop된 Packet,Data 크기
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: access-group 187
      Match: packet length min 92 max 92
      drop