Network 장비를통한 Worm/DoS 공격방어coffeenix.net/doc/security/security_cisco.pdf ·...

Network 장비를 통한 Worm/DoS 공격 방어 전략

Network 장비를 통한 Worm/DoS 공격 방어

최 우 형 ([email protected])

System Engineer

Cisco Systems Korea


목차

Blaster Worm

Router 에서의 방어 전략

Switch 에서의 방어 전략

Switch Security Service Module

Epilogue


Msblaster worm 동작 개요2003.08.11~08.14

ServerFarm

Msblast.exeTCP135,4444

1. TCP135,4444을 통한 worm 유입

TCP135 port

TCP135 port

2. TCP135번을 통한 RPC DCOM 취약성 검색

3. UDP69번 open/TFTP Server 동작

TFTP동작(UDP69)

4. TCP4444을 통해 Worm Download

TCP4444 open

Msblast.exe

Network 장비에서의 영향

TCP 135 번 port를 통한 scanning 의 급속한 증가로 인해 Process 증가 우려

ATM Backbone Switch 등 기존 노후화된 Switch에서 CPU 증가 현상 발생 가능성 있음

TCP 4444 port or UDP 69 port등으로 인한 네트워크 장비의 영향은 거의 없음

Access ClientInternet Backbone

CERTCC-KR 분석자료 참조


Msblaster worm 동작 개요2003.08.15~

Internet Backbone Access Client

ServerFarm

Msblast.exe

Windowsupdate.com

1. windowsupdate.com에대한 DNS Query

DNS Query

IP spoofing &

DoS attack

2. IP 변조수행

Syn flooding Attack

3. DoS공격 – TCP Syn flooding Attck시도


TCP syn flooding으로 인한 Process 증가 우려


TCP synflooding이 국내 (내부)IP로 변조 될 경우 혼란 가능성 – Server,Network 장비 Down…..



Msblaster worm 동작 개요변종 Nachi/Welchia worm

Internet Backbone Access Client

ServerFarm

Nachi worm

1. windowsupdate.com에대한 DNS Query

DNS Query


92Byte ICMP 과다 생성으로 장비 Process 증가 현상 발생


구형 Router Process 증가 우려 (B class 대역 ICMP 공격)

방화벽, IDS는 Smurf attack, ICMP Attack으로 판단 조치를 취함

ICMP

2. ICMP Scanning 시도 (92byte)

ICMP

Nachi worm

3. TCP135port 취약점 탐색

4. TCP 707 port를 통한 worm upload

TCP 707/UD

P 69

ICMP



Msblaster worm 동작 개요변종 Nachi/Welchia worm Impact


목차

Blaster Worm





Cisco Router에서의 방어 요령요약

Cisco Router 에서의 방어 요령

1. Monitoring

Netflow 활용을 통한 탐지

2. Defense

Blaster Worm

TCP 135/4444,UDP 69 유입방어

Nachi/Welchia

TCP 135/707,UDP 69 유입방어

외,내부 ICMP 유입방어

내부 ICMP limit – CAR

내부 유해ICMP 선택 방어

- PBR,MQC


ServerFarm


Cisco Router에서의 방어 요령Blaster worm Monitoring

1. Netflow Enable

Router(config)#ip cef

Router(config)#interface fastethernet 0 (Monitoring 하려는 Interface에 적용)

Router(config-if)#ip route-cache flow (Netflow 적용)

2. Netflow Monitoring

Router#show ip cache flow Netflow에 대한 전체적인 결과값

<Netflow에서의 Service Port 결과물은 16진수로 표기되므로 10진수 변환필요>

Router#show ip cache flow | include 0087 135번 결과물 추출

Router#show ip cache flow | include 115C 4444번 결과물 추출

3. 예제

Router#sh ip cac flow | inc 0087Gi0/0 192.168.8.177 Null 192.170.40.10 06 07CB 0087 1 Gi0/0 192.168.8.177 Null 192.170.40.9 06 07CA 0087 1 Gi0/0 192.168.8.177 Null 192.170.40.8 06 07C9 0087 1 Gi0/0 192.168.8.177 Null 192.170.40.7 06 07C8 0087 1

Internet


Cisco Router에서의 방어 요령Blaster worm Defense

1. TCP 135번, 4444번, UDP 69번 차단

2. 예제

access-list 100 deny udp any any eq 69access-list 100 deny tcp any any eq 135access-list 100 deny tcp any any eq 4444 access-list 100 permit ip any any

interface <적용 interface>ip access-group 100 in

3. 주의 사항TCP 135 번 Port 사용용도가 Site 특성상 각각 다르므로 주의해서 Blocking 시켜야

함.###TCP 135 번 port 사용용도###

DHCP/WINS ManagerserviceExchange client/server 통신/Administrator serviceRPC TCP:135

Inbound Defense

Inbound Defense

ACL

Internet


Cisco Router에서의 방어 요령Nachi/Welchai Worm Monitoring

1. Netflow Enable

Router(config)#ip cef

Router(config)#interface fastethernet 0 (Monitoring 하려는 Interface에 적용)

Router(config-if)#ip route-cache flow (Netflow 적용)

2. Netflow Monitoring

Router#show ip cache flow Netflow에 대한 전체적인 결과값

<Netflow에서의 Service Port 결과물은 16진수로 표기되므로 10진수 변환필요>

Router#show ip cache flow | include 0000 ICMP 결과 추출

Router#show ip cache flow | include 02C3 707번 결과물 추출

3. 예제

Router#sh ip cac flow | inc 0000 0800Gi0/0 192.168.8.177 Null 192.170.40.10 01 0000 0800 1 Gi0/0 192.168.8.177 Null 192.170.40.9 01 0000 0800 1 Gi0/0 192.168.8.177 Null 192.170.40.8 01 0000 0800 1 Gi0/0 192.168.8.177 Null 192.170.40.7 01 0000 0800 1

Internet


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – ACL을 통한 Defense

1. TCP 135번, 707번, UDP 69번 차단,ICMP 차단

MS 권고 사항 : TCP135,139,445,593,UDP135,137,38 차단

http://www.microsoft.com/korea/security/bulletin/VN03-009.asp

2. 예제

access-list 100 deny udp any any eq 69access-list 100 deny tcp any any eq 135access-list 100 deny tcp any any eq 707access-list 100 deny icmp any anyaccess-list 100 deny icmp any any echo-reply<MS 권고안 대로 TCP139,445,593 UDP 135,137,38 추가 가능>access-list 100 permit ip any any

interface <적용 interface>ip access-group 100 in

3. 주의 사항내부 Ethernet Interface 에 ACL 적용시 외부로 ICMP를 차단하게 되므로, Network 진단에

Issue발생할 가능성이 있으므로, 관리자의 정책에 따라 설정해야 함.

Inbound Defense

Inbound Defense

ACL

Internet


Security 와 QoS

Traffic 과다 발생 Security 사고 발생시..


Security 와 QoS

2,3차선

버스전용 차로

4차선

갓길 주행

Queue4 Http

Queue2 ftp,smtp

Queue1 etc

Queue3

ERP,업무

QoS 는잠

재적

인

Securit

y tool

Portx


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – CAR를 통한 Defense

1. QoS CAR (Commit Access Rate)을 통한 방어 개념

ICMP

Inbound Defense

ACL CAR - Limit

Inbound Limit

정상 Traffic

ACL을 통한 ICMP marking

특정 대역폭으로 제한

Router

Internet


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – CAR를 통한 Defense

2. 구성 방법 및 모니터링

• ACL을 통한 Marking

Router(config)#access-list 177 remark "ICMP_limit_marking"Router(config)# access-list 177 permit icmp any anyRouter(config)# access-list 177 permit icmp any any echoRouter(config)# access-list 177 permit icmp any any echo-reply

• 해당 Interface 적용(내부 Ethernet Interface)

Router(config-if)#rate-limit input access-group 177 8000 1000 1000 conform-action transmit

exceed-action drop

ACL 177번에 해당하는 Traffic이 8000bps 이상이면 Drop, 즉 ICMP packet이 8Kbps이상이면Drop

Normal과 Maximum burst Size, Limit 양은 관리자 임의 조정 가능

• Monitoring 방법Router#sh interfaces fastEthernet 0 rate-limit FastEthernet0 "내부망"Inputmatches: access-group 177params: 8000 bps, 8000 limit, 8000 extended limitconformed 599 packets, 151070 bytes; action: transmitexceeded 527 packets, 623618 bytes; action: droplast packet: 280ms ago, current burst: 7896 byteslast cleared 00:02:22 ago, conformed 8000 bps, exceeded 35000 bps

Internet


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – CAR를 통한 Defense : 적용 전


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – CAR를 통한 Defense : 적용 후 변화

O.K!!

Limit Limit

Limit


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – PBR을 통한 Defense

1. PBR (Policy Base Routing) 을 통한 방어 개념

Inbound Defense

ACL PBR

Inbound Limit

정상 Traffic

ACL기반의 PBR을 통한92Byte ICMP 탐색

Router

92byte ICMP

Logical Interface(Null 0) DropNull 0

정상 ICMP

Cisco Layer 3 Switching

모든 제품군 지원!!!

Internet


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – PBR을 통한 Defense



Router(config)#access-list 187 remark "ICMP_PBR_marking"Router(config)# access-list 187 permit icmp any any echoRouter(config)# access-list 187 permit icmp any any echo-reply

• PBR Rule setupRouter(config)#route-map worm permit 10Router(config)#match ip address 187 PBR에 적용시킬 ACL 정의Router(config)#match length 92 92 적용된 ICMP Packet 중 Ethernet Frame 포함 92Byte에

적용Router(config)#set interface Null 0 92Byte ICMP Packet은 Null 0 Interface로 보내어짐

• 해당 Interface 적용

Router(config-if)#ip policy route-map worm

• Monitoring 방법Router#sh route-map worm route-map worm, permit, sequence 10

Match clauses:ip address (access-lists): 187

Set clauses:interface Null0

Policy routing matches: 4165 packets, 440770 bytes Policy에적용되어 Null 0로보내어진 Packet 및 Data 크기

Internet


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – PBR을 통한 Defense : 적용 전

64By

te P

acke

t All

perm

it


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – PBR을 통한 Defense : 적용 후

Deny

PermitDeny

Deny


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – MQC를 통한 Defense

1. MQC (Modular QoS CLI) 를 통한 방어 개념

Inbound Defense

ACL MQC

Inbound Limit

정상 Traffic

ACL기반의 MQC을 통한92Byte ICMP 탐색

Router

92byte ICMP

정상 ICMP

92Byte ICMP dropCisco IOS 12.2(13)T

이상 지원!!!

Internet


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – MQC를 통한 Defense


• ACL을 통한 MarkingRouter(config)#access-list 197 remark "ICMP_MQC_marking"Router(config)# access-list 197 permit icmp any any echoRouter(config)# access-list 197 permit icmp any any echo-reply• PBR Rule setupRouter(config)#class-map match-all class_worm 정책에 포함 시킬 Class Group 정의Router(config-cmap)#match access-group 187 해당 Class에 적용될 ACL MarkingRouter(config-cmap)#match packet length min 92 max 92 Marking된 ACL 가운데 92Byte만

적용Router(config)#policy-map policy_worm 정책 정의Router(config-pmap)#class class_worm 정책에 포함될 Class Router(config-pmap)#drop 해당 Class의 Action


Router(config-if)#service-policy input policy_worm

Router(config-if)#service-policy output policy_worm

• Monitoring 방법Router#sh policy-map interface fa 0FastEthernet0 Service-policy input: policy_worm

Class-map: class_worm (match-all)5 packets, 530 bytes 적용되어 Drop된 Packet,Data 크기5 minute offered rate 0 bps, drop rate 0 bpsMatch: access-group 187Match: packet length min 92 max 92drop

Internet


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – MQC를 통한 Defense : 적용 전

64By

te P

acke

t All

perm

it


Cisco Router에서의 방어 요령Nachi/Welchai worm Defense – MQC를 통한 Defense : 적용 후

Deny

PermitDeny

Deny


목차

Blaster Worm




Epilogue


Cisco Catalyst 6500에서의 방어 요령요약

Cisco Cat6500 에서의 방어 요령

1. Monitoring

MLS flow활용을 통한 탐지

2. Defense

Blaster Worm

TCP 135/4444,UDP 69 내부전염방지

Nachi/Welchia


외,내부 ICMP 내부 전파 방지

내부 ICMP limit – Policing

내부 유해ICMP 선택 방어 -PBR


ServerFarm


Cisco Router에서의 방어 요령Blaster worm/Nachi-Wechai Monitoring

Backbone1. Mls flow Enable

Cat OS : Switch(enable)#set mls flow full Default로 destionation만 정의되어 있음

Native IOS : Switch(config)#mls flow ip full

2. MLS flw Monitoring

Cat OS

6500> (enable) sh mls statistics entry ip src-port 135Last Used

Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes---------------- --------------- ----- ------ ------ ---------- ---------------111.222.213.57 111.222.230.172 TCP 135 1089 1 4884.35.137.121 111.222.236.248 TCP 135 4845 1 52143.10.4.213 111.222.235.13 TCP 135 1510 1 4873.37.139.184 111.222.227.178 TCP 135 1471 1 48119.121.241.91 111.222.229.29 TCP 135 3064 1 48111.222.225.40 111.222.134.132 TCP 135 2811 1 48

6500> (enable) sh mls statistics entry ip src-port 135 Blaster worm 탐색

6500> (enable) sh mls statistics entry ip src-port 4444 Blaster worm 탐색

6500> (enable) sh mls statistics entry ip src-port 707 Nachi 탐색

6500> (enable) sh mls statistics entry ip protocol icmp Nachi를 통한 ICMP attack 탐색

Cat OS


Cisco Router에서의 방어 요령Nachi/Welchai Worm Monitoring

Backbone 계속…

Native IOSCAT6500#sh mls ip statistics | inc 135187.151.141.61 222.222.206.165 tcp :3846 :135 0 : 0 10.95.103.29 111.93.13.77 tcp :2197 :135 0 : 0 187.151.143.172 222.222.206.165 tcp :4470 :135 0 : 0 111.91.251.19 111.93.10.227 tcp :2052 :135 0 : 0 123.152.177.81 111.93.8.104 tcp :3797 :135 0 : 0 이하 생략….

CAT6500#sh mls ip statistics | inc 135



CAT6500#sh mls ip statistics | inc icmp

Cat6500#sh mls ip source 111.222.123.219 감염된 PC 동작상태 monitoringDisplaying Netflow entries in Supervisor EarlDstIP SrcIP Prot:SrcPort:DstPort Src i/f:AdjPtr--------------------------------------------------------------------Pkts Bytes Age LastSeen Attributes---------------------------------------------------111.222.59.87 111.222.123.219 tcp :4816 :135 0 : 0 3 144 120 20:13:05 L3 - Dynamic111.222.57.132 111.222.123.219 tcp :4613 :135 0 : 0 3 144 142 20:12:43 L3 – Dynamic ………………..이하 생략………..

Native IOS


Cisco Catalyst 6500에서의 방어 요령VACL을 이용한 내부 전염 방지 – RACL 개념

Backbone

VLAN BSubnet B

VLAN ASubnet A

RACL에 의해서는 동일 Subnet,VLAN의Traffic Control 이 불가능하다???

RACL 기반의 접근제어 기법다른 서브넷, VLAN으로 이동하는

Traffic Control

전통적인 Router Port 기반의 RACL


Cisco Catalyst 6500에서의 방어 요령VACL을 이용한 내부 전염 방지 – VACL 개념

BackboneSwitch(Vlan) 기반의 새로운 개념의 VACL

VLAN BSubnet B

VLAN ASubnet A

VACL을 통한 동일 VLAN,Subnet 에서의Traffic 흐름 제어 가능 !!! – Worm 차단 효과

VACL을 통한 Traffic 제어동일 VLAN,Subnet 내부의

Traffic 제어 기술


Cisco Catalyst 6500에서의 방어 요령VACL을 이용한 내부 전염 방지 – VACL 필요성 대두

Backbone Switch

Distribution

Distribution

Access Switch

wormworm

worm

wormworm

worm

IDS

F.WRouter

내부 Worm 전파를 막을 방법은 없다…..

F.W 은 외부로 부터의 정의된 규칙에 위반된 Flow만 막아 줄 뿐이다.IPS/IDS는 Server Farm or Gateway 앞에서 인터넷을 향하는 내부 사용자를 감시한다.Router에서의 ACL은 인터넷 내부.외부로의 통과되는 Traffic 만을 Filtering 한다.내부 Worm 급속 확산 및 전파를 방지하기 위해서는 동일 Subnet,Vlan 내에서 filtering 이 가능한 Vlan기반 ACL 필요


Cisco Catalyst 6500에서의 방어 요령Blaster/Nachi-Welchai Defense – VACL을 통한 구성

Backbone 구성 방법

• Vlan 기반 ACL 정의

set security acl ip VACL deny udp any eq 4444 any set security acl ip VACL deny udp any any eq 4444 set security acl ip VACL deny tcp any eq 135 any set security acl ip VACL deny tcp any any eq 135

Blaster Worm 관련 configset security acl ip VACL deny tcp any eq 707 any

set security acl ip VACL deny tcp any any eq 707Nachi worm 관련 config

set security acl ip VACL permit ip any anyWorm을 제외한 모든 traffic permit

• 정의된 VACL을 해당 Vlan에 적용

commit security acl VACLset security acl map VACL <적용하고저 하는 VLAN번호>

• VACL 해제 방법

clear security acl VACLcommit secuirty acl VACL

Cat OS


Cisco Catalyst 6500에서의 방어 요령Blaster/Nachi-Welchai Defense – VACL을 통한 구성


• 일반적인 ACL 정의

Switch(config)#ip access-list extended worm_blockSwitch(config)# permit tcp any any 135Switch(config)# permit tcp any any 139Switch(config)# permit tcp any any 445Switch(config)# permit tcp any any 4444Switch(config)# permit tcp any any 707Switch(config)# permit udp any any 69Switch(config)# permit icmp any any echo Switch(config)# permit icmp any any echo-reply

ICMP Echo Service 막을 경우 network 진단 방법이 어려워지므로, PBR을 권고

• Vlan AccessMap 정의

Switch(config) #vlan access-map worm_vacl 10

Switch(config)#match ip address worm_block 앞서 정의된 일반적인 ACL을 불러들임

Switch(config)#action drop 일반적인 ACL에 정의된 내용에 대한 부분은 모두 Drop 시킴

• 해당 Vlan Interface 에 적용

Switch(config)#vlan filter worm_vacl vlan-list 100 -150

VACL 이 적용될 해당 Vlan 을 선언해 주는 부분

Native IOS


Cisco Catalyst 6500에서의 방어 요령Blaster/Nachi-Welchai Defense – PBR을 통한 구성

Backbone구성 방법 및 모니터링 MSFC에서 적용



• PBR Rule setupRouter(config)#route-map worm permit 10Router(config)#match ip address 187 PBR에 적용시킬 ACL 정의Router(config)#match length 92 92 적용된 ICMP Packet 중 Ethernet Frame 포함 92Byte에 적용Router(config)#set interface Null 0 92Byte ICMP Packet은 Null 0 Interface로 보내어짐







Cat OSNative

IOS


Cisco Catalyst 6500에서의 방어 요령Blaster/Nachi-Welchai Defense – Policing을 통한 구성

PFC2only

eBurst

Burst

Rate

eRate - Rate

Bucket 2

Bucket 1

TCP 135,ICMP echo/echo-reply

TCP4444,TCP707,UDP69TCP 135,ICMP echo/echo-reply

TCP4444,TCP707,UDP69

wormworm

wormwormBackbone

Cat OS

Native IOS




mls qosmls QoS enable

Access-list 113 permit icmp any any echoAccess-list 113 permit icmp any any echo-reply

icmp attack markingAccess-list 111 permit tcp any any eq 135Access-list 111 permit tcp any any eq 4444Access-list 111 permit tcp any any eq 707Access-list 111 permit udp any any eq 69……기타 포트 정의

Blaster worm,Nachi worm markingAccess-list 112 permit tcp any any syn

8월 15일 이후 공격하는 syn flooding attack 방어 marking

해당 Class-map 정의

class-map match-all icmp_attackmatch access-group 113

class-map match-all Blaster_0815_attackmatch access-group 112

class-map match-all Blaster_Nachimatch access-group 111

각 Class에 해당되는 ACL 포함시킴

Native IOS



Backbone 정책 정의

policy-map QoSclass icmp_attack

police 32000 1000 1000 conform-action transmit exceed-action drop violate-action dropclass Blaster_0815_attack

police 32000 1000 1000 conform-action transmit exceed-action drop violate-action dropclass Blaster_Nachi

police 32000 1000 1000 conform-action transmit exceed-action drop violate-action drop각 Class 모두 32Kbps 이상이면 모두 Drop 시킴

Monitoring

Cat6500#sh policy-map interface gigabitEthernet 2/1

GigabitEthernet2/1

service-policy input: QoS

class-map: attack (match-all)0 packets5 minute offered rate 0 ppsmatch: access-group 113police :32000 bps 1000 limit 1000 extended limitaggregate-forwarded 0 packets action: transmitexceeded 44 packets action: dropaggregate-forward 345 pps exceed 40 pps …이하 생략

Native IOS



Backbone • 구성방법

set qos enableQoS 활성화 시키기

• Policer 설정

set qos policer aggregate policer_worm rate 32 policed-dscp erate 32 drop burst 4 eburst 432Kbps 이상 worm에 관련된 ACL이 들어올 경우 Drop 시킨다……

• QoS ACL 설정 – Marking 정의

set qos acl ip worm dscp 8 aggregate policer_worm tcp any any eq 135 set qos acl ip worm dscp 8 aggregate policer_worm tcp any any eq 4444 set qos acl ip worm dscp 8 aggregate policer_worm tcp any any eq 707 set qos acl ip worm dscp 8 aggregate policer_worm udp any any eq 69 set qos acl ip worm dscp 8 aggregate policer_worm icmp any any echo set qos acl ip worm dscp 8 aggregate policer_worm icmp any any echo-reply

Blaster worm, Nachi worm,ICMP Attack 관련 정의

Cat OS



• 활성화 및 적용/해제commit qos acl worm

QoS ACL 활성화set qos acl map worm 100

적용하고저 하는 Vlan or Interface 적용

Clear qos acl wormCommit qos acl worm

QoS 해제

• Monitoring 기법

Cat6500> (enable) sh qos statistics aggregate-policer policer_wormQoS aggregate-policer statistics:Aggregate policer Allowed packet Packets exceed Packets exceed

count normal rate excess rate------------------------------- -------------- -------------- --------------policer_worm 268 11 11

해당 QoS 에 적용되어 Drop 되는 packet monitoring

Backbone

Cat OS


Cisco Catalyst 4500/4000/3750/3550/2950에서의 방어 요령

요약

Cisco 일반 Switch 방어 요령

Defense

Blaster Worm


Nachi/Welchia


외,내부 ICMP 내부 전파 방지

내부 ICMP limit – Policing

내부 유해ICMP 선택 방어 -PBR


ServerFarm


Cisco Catalyst 4500/4000/3750/3550/2950에서의 방어 요령Blaster/Nachi-Welchai Defense – VACL을 통한 구성

Access 구성 방법

• 일반적인 ACL 정의

Switch(config)#ip access-list extended worm_blockSwitch(config)# permit tcp any any 135Switch(config)# permit tcp any any 139Switch(config)# permit tcp any any 445Switch(config)# permit tcp any any 4444Switch(config)# permit tcp any any 707Switch(config)# permit udp any any 69Switch(config)# permit icmp any any echo Switch(config)# permit icmp any any echo-reply

ICMP Echo Service 막을 경우 network 진단 방법이 어려워지므로, PBR을 권고

• Vlan AccessMap 정의

Switch(config) #vlan access-map worm_vacl 10

Switch(config)#match ip address worm_block 앞서 정의된 일반적인 ACL을 불러들임

Switch(config)#action drop 일반적인 ACL에 정의된 내용에 대한 부분은 모두 Drop 시킴

• 해당 Vlan Interface 에 적용

Switch(config)#vlan filter worm_vacl vlan-list 100 -150

VACL 이 적용될 해당 Vlan 을 선언해 주는 부분

Catalyst 4500/4000

3750/3550 적용가능

2950 적용 불가 – ACL 적용


Cisco Catalyst 4500/4000/3750/3550/2950에서의 방어 요령Blaster/Nachi-Welchai Defense – PBR을 통한 구성

구성 방법 및 모니터링



• PBR Rule setupRouter(config)#route-map worm permit 10Router(config)#match ip address 187 PBR에 적용시킬 ACL 정의Router(config)#match length 92 92 적용된 ICMP Packet 중 Ethernet Frame 포함 92Byte에 적용Router(config)#set interface Null 0 92Byte ICMP Packet은 Null 0 Interface로 보내어짐







Access


Cisco Catalyst 4500/4000/3750/3550/2950에서의 방어 요령Blaster/Nachi-Welchai Defense – Policing을 통한 구성

Access 구성방법

• QoS 활성화mls qos map policed-dscp 48 to 16mls qos또는 4500에서는 qos

• ACL 정의access-list 199 permit icmp any any echoAccess-list 199 permit icmp any any echo-reply

icmp attack 관련 ACL 정의Access-list 198 permit tcp any any syn

syn flooding attack 관련 ACL 정의Access-list 197 permit tcp any any eq 135Access-list 197 permit tcp any any eq 4444Access-list 197 permit tcp any any eq 707Access-list 197 permit udp any any eq 69

Blaster,Nachi worm attack 관련 ACL 정의

• Class Group 정의class-map match-all icmp_attack

match access-group 199Class-map match-all syn_attck

match access-group 198Class-map access-group wormmatch access-group 197

Catalyst 4500/4000

3750/3550/2950



• Policy (정책) 설정

policy-map p_wormclass icmp_attackset ip precedence 6police 8000 8000 exceed-action drop

class syn_attackset ip precedence 5police 8000 8000 exceed-action drop

class wormset ip precedence 4police 8000 8000 exceed-action dropicmp_attack,Syn_attack,worm traffic 이 8Kbps이상이면 Drop

• 해당 interface에 설정

interface GigabitEthernet0/10switchport access vlan 100switchport mode accessno ip addressload-interval 30mls qos monitor dscp 8 16 24 32 40mls qos monitor packetsservice-policy input p_worm

Access



Access • Monitoring 기법

sh mls qos interface gigabitEthernet 0/10 statistics GigabitEthernet0/10Ingress

dscp: incoming no_change classified policed dropped (in bytes)8 : 0 0 0 0 0 16: 0 0 0 0 0 24: 0 0 0 0 0 32: 0 0 9 0 0 40: 0 0 3 0 0 48: 0 0 2705898 0 27026238

Others: 27104548 41526 4624 0 0

해당 DSCP에 Marking 된 Traffic이 Drop 되는 것을 볼 수 있음.


목차

Blaster Worm




Epilogue


Cisco Firewall ProductFirewall Design Issue

방화벽에 대한 Dilemma 두 가지….

1. 새로운 보안장비의 도입은 성능을 반비례 시킨다 ???

2. 보안장비의 성능 강화를 위해 복잡한 디자인을 가져가야 한다 ???

1

2

1 Case 1 - 성능

새로운 병목 구간 등장

“ 대역폭/성능 ”

1Mpps 150Mpps ~2Mpps

처리

속도

ISP - B

ISP - A

1Gbps100Mbps100Mbps

100Mbps

100Mbps

대역

폭

Router 방화벽 Core Switch



2

방화벽에 대한 Dilemma 두 가지….

1. 새로운 보안장비의 도입은 성능을 반비례 시킨다 ???

2. 보안장비의 성능 강화를 위해 복잡한 디자인을 가져가야 한다 ???

1

2

Case 2 - Design

다수의 관리 Point

구성이 복잡하다

Management Overhead 발생

L4switch L2switch L2switch L4switch

방화벽Core

Switch

Router

복잡

한구

성



ISP - B

ISP - A

1Gbps100Mbps

100Mbps

100Mbps

100Mbp

sRouter 방화벽 Core

Switch

L4switch L2switch L2switch L4switch

방화벽Core

Switch

Router

성능 Issue 구성 Issue

F/W

모듈형 방화벽 구조 선택

F/W

모듈형 방화벽 구조 Router 구성


Firewall Overview What does it do…

100K new connections/sec for HTTP, DNS and enhanced SMTP

100 VLAN 지원LAN failover active/standby Dynamic Routing I.e. OSPF 단일 샤시 내 multiple blades 지원128K Rule Set 지원No IDS SignaturesSupported on Native IOS and CatOS( IOS12.1(13)E / Cat OS 7.5(1))Classic 32G bus/Fabric 256G bus

PIX 6.0 base Feature Set (some feature of 6.2 )High Performance Firewall, targeted

OC48 or 5GB (aggregated)Concurrent connections : 1M3 Million pps

FWSM

Performance


Cisco IDS ProductCatalyst 6500 IDSM-2 요약 소개

Catalyst 7600/6500 IDSM II

실시간 침입 탐지 감시폭넓은 침입 탐지 인식 및 감시확장된 침입 탐지 유형다중 VLAN 탐지 기능32Gb bus/ Fabric 과의 연동 구조Switch 성능 저하 없는 monitoring 구조Passive MonitoringTransparent OperationIDSM 관리를 위한 IDS Device Manager 지원IDSM 관리를 위한 IDS Event Viewer 지원Feature Parity with IDS AppliancesCat OS 7.5(1)/IOS 12.1(19)E

New IDSM-2

600Mbps 높은 성능5000 cps(초당 TCP 처리 수)동시 접속 수 최대 500,000 개

강력한 성능


Catalyst Service Module을 통한 Monitoring/DefenseIDSM 동작 원리

IDSM2침입탐지 유형에 대한 지속적인탐지 및 이상징후 포착 시 Alarm

Attacker

침입자의 침입시도1

packet 감시 및침입식별

2

3 Shunning / reset / rate-limit


Catalyst Service Module을 통한 Monitoring/DefenseIDSM shuning

Cat 6500

Cisco 7600

PIX Series

Router

ACL 자동 추가

VACL 자동 추가

Inside Host 자동 차단

Shun

ing

Shuning

Shuning


Catalyst Service Module을 통한 Monitoring/DefenseIDSM shuning 을 통한 6500 자동 VACL 구성 예….

IDMS을 통해 자동 ICMP Attack 방어 기능을 수행한 configuration

set security acl ip IDS_160_0 permit arpset security acl ip IDS_160_0 permit ip host 111.222.255.124 any set security acl ip IDS_160_0 deny ip host 111.222.232.104 any set security acl ip IDS_160_0 deny ip host 111.139.201.208 any set security acl ip IDS_160_0 deny ip host 29.167.221.167 any set security acl ip IDS_160_0 deny ip host 24.62.58.63 any set security acl ip IDS_160_0 deny ip host 24.51.18.96 any set security acl ip IDS_160_0 deny ip host 21.65.155.5 any set security acl ip IDS_160_0 deny ip host 12.47.48.228 any set security acl ip IDS_160_0 deny ip host 21.20.122.119 any set security acl ip IDS_160_0 deny ip host 65.95.6.251 any set security acl ip IDS_160_0 deny ip host 68.45.16.20 any set security acl ip IDS_160_0 deny ip host 8.111.3.213 any set security acl ip IDS_160_0 deny ip host 61.7.37.144 any …………………..

Shuning


NAM II overview

NAM II Introduce

Application MonitoringPerformance ManagementTroubleshootingTrend AnalysisCapacity planning VOIP MonitoringQoS and DSCP monitoringMIB II – RFC1213 지원RMON (RFC2819) All groupsRMON2 (RFC2021) All groupsS(swtich)MON (RFC2613) 지원DSMON 지원ART MIB/ HCRMON 지원

NAM SW v3.1(CatOS 7.3(1)/IOS 12.1(13)E support)

Classic 32Gbps Bus/ 256Gbps Fabric 연동 가능

1Gb RAM 지원128Mb capture buffer 저장 공간 지원

NAM-2

Performance


NAM OverviewNAM 소개 – cont

RMON I,IIHCRMON

SMONDSMON

ARTVoice Analysis

Mini-RMONPer Port

HTTP/SSNMP

NAM Blade

Catalyst 6000/6500Cisco 7600

nGenius Real Time Monitoror 3rd party applications

(aggregation of multiple NAMs) NAM Integrated Traffic Analyzer

(easy to deploy and use)

Flexible data sources:

SPAN (detailed)Netflow (broad)VACL (specific)

Layer 2

Layer 3-7

NEWNEW

EnhancedEnhanced

EnhancedEnhanced


NAM II overview

Architeture

NAM Embedded Traffic Analyzer

Cisco Catalyst Cisco Catalyst SwitchSwitch

Mini RMONMini RMON

Min

iR

MO

N

CiscoCiscoRouterRouter

NetFlowNetFlow

Net

Flow

Rec

ords

SPA

NSo

urc

eHTTP

Multicast

FTP

FTP Multicast HTTPMulticastFTP FTPBPDU


Catalyst Service Module을 통한 Monitoring/DefenseNAM을 통한 이상 징후 포착 – Blaster worm


Catalyst Service Module을 통한 Monitoring/DefenseNAM을 통한 이상 징후 포착 – Nachi worm


Catalyst Service Module을 통한 Monitoring/DefenseNAM을 통한 분석 – Blaster worm 의심 Host 추출


Catalyst Service Module을 통한 Monitoring/DefenseNAM을 통한 분석 – Nachi worm 의심 Host 추출


목차

Blaster Worm




Epilogue


Epilogue

사내 CERT team 조직이 시급합니다.Server ,Network , PC manager

전산 자원에 대한 전체적인 점검…..현재 상태를 정확히 분석할 필요성 대두

넓게 보는 Security DesignEnd to End의 보안 구성이 필요

꾸준한 교류와 인적 양성

기계를 다루는 것은 인간입니다.

그들이 뛰어나야 올바른 운영과 관리가가능합니다.


If you have any questions,,,,,mailto: [email protected]

www.cisco.com

Network 장비를통한 Worm/DoS 공격방어coffeenix.net/doc/security/security_cisco.pdf ·...

Documents

Transcript of Network 장비를통한 Worm/DoS 공격방어coffeenix.net/doc/security/security_cisco.pdf ·...