Network Worm/DoS. System Engineer. Cisco Systems Korea

(1)

최 우 형

(whchoi@cisco.com)

System Engineer

(2)

Blaster Worm

Router

에서의 방어 전략

Switch

에서의 방어 전략

Switch Security Service Module

(3)

Blaster Worm

Router

에서의 방어 전략

Switch

에서의 방어 전략

Switch Security Service Module

(4)

2003.08.11~08.14

Server

Farm

Msblast.exe

TCP135,4444

1. TCP135,4444을 통한worm 유입 TCP135 port TCP135 port 2. TCP135번을 통한 RPC DCOM 취약성 검색 3. UDP69번 open/TFTP Server 동작

TFTP동작(UDP69)

4. TCP4444을 통해 Worm Download

TCP4444 open

Msblast.exe

Network 장비에서의 영향

z TCP 135 번port를 통한scanning 의 급속한 증가로 인해Process 증가 우려

9 ATM Backbone Switch 등 기존 노후화된Switch에서 CPU 증가 현상 발생 가능성 있음

Access

Client

Internet

Backbone

(5)

2003.08.15~

Internet

Backbone

Access

Client

Server

Farm

Msblast.exe

Windowsupdate.com 1. windowsupdate.com에 대한 DNS Query DNS Q uery IP spoofing & DoS attack 2. IP 변조 수행

Syn flooding

Attack

3. DoS공격– TCP Syn flooding Attck시도

Network 장비에서의 영향

z TCP syn flooding으로 인한 Process 증가 우려

9 ATM Backbone Switch 등 기존 노후화된Switch에서 CPU 증가 현상 발생 가능성 있음

(6)

변종 Nachi/Welchia worm

Internet

Backbone

Access

Client

Server

Farm

Nachi worm

1. windowsupdate.com에 대한 DNS Query DNS Q uery Network 장비에서의 영향

z 92Byte ICMP 과다 생성으로 장비 Process 증가 현상 발생

9 ATM Backbone Switch 등 기존 노후화된Switch에서 CPU 증가 현상 발생 가능성 있음 9구형 Router Process 증가 우려 (B class 대역ICMP 공격)

9방화벽, IDS는Smurf attack, ICMP Attack으로 판단 조치를 취함

IC_M P

2. ICMP Scanning 시도(92byte)

ICM P

Nachi worm

3. TCP135port 취약점 탐색

4. TCP 707 port를 통한worm upload

TC_P 7 07 /U D P 6₉

ICMP

(7)

(8)

Blaster Worm

Router

에서의 방어 전략

Switch

에서의 방어 전략

(9)

요약

Cisco Router 에서의 방어 요령

1. Monitoring

Netflow활용을 통한 탐지

2. Defense

Blaster Worm TCP 135/4444,UDP 69 유입방어 Nachi/Welchia TCP 135/707,UDP 69 유입방어 외,내부ICMP 유입방어

내부 ICMP limit – CAR 내부 유해ICMP 선택 방어 - PBR,MQC

Access

Client

Internet

Backbone

Server

Farm

(10)

Blaster worm Monitoring

1. Netflow Enable

Router(config)#ip cef

Router(config)#interface fastethernet 0 (Monitoring

하려는

Interface

에 적용

)

Router(config-if)#ip route-cache flow (Netflow

적용

)

2. Netflow Monitoring

Router#show ip cache flow

Æ

Netflow

에 대한 전체적인 결과값

<Netflow

에서의

Service Port

결과물은

16 진수로 표기되므로

10 진수 변환필요

>

Router#show ip cache flow | include 0087

Æ

135 번 결과물 추출

Router#show ip cache flow | include 115C

Æ

4444

번 결과물 추출

3. 예제

Router#sh ip cac flow | inc 0087

Gi0/0

192.168.8.177 Null

192.170.40.10 06 07CB 0087

1 Gi0/0

192.168.8.177 Null

192.170.40.9 06 07CA 0087

1 Gi0/0

192.168.8.177 Null

192.170.40.8 06 07C9 0087

1 Gi0/0

192.168.8.177 Null

192.170.40.7 06 07C8 0087

1

(11)

Blaster worm Defense

1. TCP 135

번

, 4444

번

, UDP 69

번 차단

2. 예제

access-list 100 deny udp any any eq 69

access-list 100 deny tcp any any eq 135

access-list 100 deny tcp any any eq 4444

access-list 100 permit ip any any

interface <

적용

interface>

ip access-group 100 in

3. 주의 사항

TCP 135

번

Port

사용용도가

Site

특성상 각각 다르므로 주의해서

Blocking

시켜야

함

.

###TCP 135

번

port

사용용도

###

DHCP/WINS Managerservice

Exchange client/server

통신

/Administrator service

RPC TCP:135

Inbound Defense

ACL

(12)

Nachi/Welchai Worm Monitoring

1. Netflow Enable

Router(config)#ip cef

Router(config)#interface fastethernet 0 (Monitoring

하려는

Interface

에 적용

)

Router(config-if)#ip route-cache flow (Netflow

적용

)

2. Netflow Monitoring

Router#show ip cache flow

Æ

Netflow

에 대한 전체적인 결과값

<Netflow

에서의

Service Port

결과물은

16 진수로 표기되므로

10 진수 변환필요

>

Router#show ip cache flow | include 0000

Æ

ICMP

결과 추출

Router#show ip cache flow | include 02C3

Æ

707 번 결과물 추출

3. 예제

Router#sh ip cac flow | inc 0000 0800

Gi0/0

192.168.8.177 Null

192.170.40.10 01 0000 0800

1 Gi0/0

192.168.8.177 Null

192.170.40.9 01 0000 0800

1 Gi0/0

192.168.8.177 Null

192.170.40.8 01 0000 0800

1 Gi0/0

192.168.8.177 Null

192.170.40.7 01 0000 0800

1

(13)

Nachi/Welchai worm Defense

–

ACL을 통한 Defense

1. TCP 135

번

, 707

번

, UDP 69

번 차단

,ICMP

차단

MS 권고 사항: TCP135,139,445,593,UDP135,137,38 차단

http://www.microsoft.com/korea/security/bulletin/VN03-009.asp

2. 예제

access-list 100 deny udp any any eq 69 access-list 100 deny tcp any any eq 135 access-list 100 deny tcp any any eq 707 access-list 100 deny icmp any any

access-list 100 deny icmp any any echo-reply

access-list 100 permit ip any any interface <적용interface> ip access-group 100 in

3. 주의 사항

내부Ethernet Interface 에ACL 적용시 외부로ICMP를 차단하게 되므로, Network 진단에 Issue발생할 가능성이 있으므로, 관리자의 정책에 따라 설정해야 함.

Inbound Defense

ACL

(14)

(15)

2,3

차선

버스전용 차로

4 차선

갓길 주행

Queue

4 Http

Queue

2 ftp,smtp

Queue

1 etc

Queue

3 ERP,

업무

Qo

S

는

잠

재

적

인

Se

cu

rit

y t

oo

l

Port

x

(16)

Nachi/Welchai worm Defense

–

CAR를 통한 Defense

1. QoS CAR (Commit Access Rate)

을 통한 방어 개념

ICMP

Inbound Defense

ACL

CAR - Limit

Inbound Limit

정상

Traffic

ACL

을 통한

ICMP marking

특정 대역폭으로 제한

Router

(17)

Nachi/Welchai worm Defense

–

CAR를 통한 Defense

2. 구성 방법 및 모니터링

• ACL을 통한 Marking

Router(config)#access-list 177 remark "ICMP_limit_marking" Router(config)# access-list 177 permit icmp any any

Router(config)# access-list 177 permit icmp any any echo Router(config)# access-list 177 permit icmp any any echo-reply • 해당Interface 적용(내부 Ethernet Interface)

Router(config-if)#rate-limit input access-group 177 8000 1000 1000 conform-action transmit exceed-action drop

Æ ACL 177번에 해당하는 Traffic이 8000bps 이상이면 Drop, 즉 ICMP packet이 8Kbps이상이면 Drop

Æ Normal과Maximum burst Size, Limit 양은 관리자 임의 조정 가능 • Monitoring 방법

Router#sh interfaces fastEthernet 0 rate-limit FastEthernet0 "내부망"

Input

matches: access-group 177

params: 8000 bps, 8000 limit, 8000 extended limit conformed 599 packets, 151070 bytes; action: transmit exceeded 527 packets, 623618 bytes; action: drop last packet: 280ms ago, current burst: 7896 bytes

last cleared 00:02:22 ago, conformed 8000 bps, exceeded 35000 bps

(18)

(19)

Nachi/Welchai worm Defense

–

CAR를 통한 Defense : 적용 후 변화

O.K!!

Limit

(20)

Nachi/Welchai worm Defense

–

PBR을 통한 Defense

1. PBR (Policy Base Routing)

을 통한 방어 개념

Inbound Defense

ACL

PBR

Inbound Limit

정상

Traffic

ACL

기반의

PBR

을 통한

92Byte ICMP

탐색

Router

92byte ICMP

Logical Interface(Null 0) Drop

Null 0

정상

ICMP

Cisc

o Lay

er 3

Sw

itch

ing

모든

제품

군 지

원

!!!

Internet

(21)

Nachi/Welchai worm Defense

–

PBR을 통한 Defense

2. 구성 방법 및 모니터링

Router(config)#access-list 187 remark "ICMP_PBR_marking" Router(config)# access-list 187 permit icmp any any echo Router(config)# access-list 187 permit icmp any any echo-reply

• PBR Rule setup

Router(config)#route-map worm permit 10

Router(config)#match ip address 187 ÆPBR에 적용시킬ACL 정의

Router(config)#match length 92 92Æ 적용된ICMP Packet 중 Ethernet Frame 포함 92Byte에 적용

Router(config)#set interface Null 0 Æ92Byte ICMP Packet은 Null 0 Interface로 보내어짐

• 해당Interface 적용

Router(config-if)#ip policy route-map worm • Monitoring 방법

Router#sh route-map worm

route-map worm, permit, sequence 10 Match clauses:

ip address (access-lists): 187 Set clauses:

interface Null0

Policy routing matches: 4165 packets, 440770 bytes

ÆPolicy에 적용되어 Null 0로 보내어진Packet 및Data 크기

(22)

Nachi/Welchai worm Defense

–

PBR을 통한 Defense : 적용 전

64 By

te

P

ac

ke

t Al

l pe

rm

it

(23)

Nachi/Welchai worm Defense

–

PBR을 통한 Defense : 적용 후

Deny

Permit

Deny

(24)

Nachi/Welchai worm Defense

–

MQC를 통한 Defense

1. MQC (Modular QoS CLI)

를 통한 방어 개념

Inbound Defense

ACL

MQC

Inbound Limit

정상

Traffic

ACL

기반의

MQC

을 통한

92Byte ICMP

탐색

Router

92byte ICMP

정상

ICMP

92Byte ICMP drop

Cisc

o IO

S 12

.2(1

3)T

이상

지원

!!!

Internet

(25)

Nachi/Welchai worm Defense

–

MQC를 통한 Defense

2. 구성 방법 및 모니터링

Router(config)#access-list 197 remark "ICMP_MQC_marking" Router(config)# access-list 197 permit icmp any any echo Router(config)# access-list 197 permit icmp any any echo-reply

Router(config)#class-map match-all class_worm Æ 정책에 포함 시킬 Class Group 정의

Router(config-cmap)#match access-group 187 Æ해당 Class에 적용될ACL Marking

Router(config-cmap)#match packet length min 92 max 92 ÆMarking된 ACL 가운데 92Byte만 적용

Router(config)#policy-map policy_worm Æ정책 정의

Router(config-pmap)#class class_worm Æ정책에 포함될Class

Router(config-pmap)#drop Æ해당 Class의 Action

Router(config-if)#service-policy input policy_worm Router(config-if)#service-policy output policy_worm • Monitoring 방법

Router#sh policy-map interface fa 0 FastEthernet0

Service-policy input: policy_worm Class-map: class_worm (match-all)

5 packets, 530 bytes Æ 적용되어Drop된Packet,Data 크기

5 minute offered rate 0 bps, drop rate 0 bps Match: access-group 187

Match: packet length min 92 max 92 drop

(26)

Nachi/Welchai worm Defense

–

MQC를 통한 Defense : 적용 전

64 By

te

P

ac

ke

t Al

l pe

rm

it

(27)

Nachi/Welchai worm Defense

–

MQC를 통한 Defense : 적용 후

Deny

Permit

Deny

(28)

Blaster Worm

Router

에서의 방어 전략

Switch

에서의 방어 전략

Switch Security Service Module

(29)

요약

Cisco Cat6500 에서의 방어 요령

1. Monitoring

MLS flow활용을 통한 탐지

2. Defense

Blaster Worm TCP 135/4444,UDP 69 내부전염방지 Nachi/Welchia TCP 135/707,UDP 69 내부전염방지 외,내부ICMP 내부 전파 방지 내부 ICMP limit – Policing 내부 유해ICMP 선택 방어-PBR

Access

Client

Internet

Backbone

Server

Farm

(30)

Blaster worm/Nachi-Wechai Monitoring

Backbone

1. Mls flow Enable

Cat OS : Switch(enable)#set mls flow full ÆDefault로 destionation만 정의되어 있음 Native IOS : Switch(config)#mls flow ip full

2. MLS flw Monitoring

Cat OS

6500> (enable) sh mls statistics entry ip src-port 135 Last Used

Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes - --- --- --- --- ---111.222.213.57 111.222.230.172 TCP 135 1089 1 48 84.35.137.121 111.222.236.248 TCP 135 4845 1 52 143.10.4.213 111.222.235.13 TCP 135 1510 1 48 73.37.139.184 111.222.227.178 TCP 135 1471 1 48 119.121.241.91 111.222.229.29 TCP 135 3064 1 48 111.222.225.40 111.222.134.132 TCP 135 2811 1 48 6500> (enable) sh mls statistics entry ip src-port 135 ÆBlaster worm 탐색

6500> (enable) sh mls statistics entry ip src-port 4444 ÆBlaster worm 탐색

6500> (enable) sh mls statistics entry ip src-port 707 ÆNachi탐색

6500> (enable) sh mls statistics entry ip protocol icmp

Æ

Nachi를 통한ICMP attack 탐색

(31)

Nachi/Welchai Worm Monitoring

Backbone

계속

…

Native IOS

CAT6500#sh mls ip statistics | inc 135

187.151.141.61 222.222.206.165 tcp :3846 :135 0 : 0 10.95.103.29 111.93.13.77 tcp :2197 :135 0 : 0 187.151.143.172 222.222.206.165 tcp :4470 :135 0 : 0 111.91.251.19 111.93.10.227 tcp :2052 :135 0 : 0

123.152.177.81 111.93.8.104 tcp :3797 :135 0 : 0 이하 생략….

CAT6500#sh mls ip statistics | inc 135 CAT6500#sh mls ip statistics | inc 4444 CAT6500#sh mls ip statistics | inc 707 CAT6500#sh mls ip statistics | inc icmp

Cat6500#sh mls ip source 111.222.123.219 Æ감염된PC 동작 상태 monitoring

Displaying Netflow entries in Supervisor Earl

DstIP SrcIP Prot:SrcPort:DstPort Src i/f:AdjPtr ---Pkts Bytes Age LastSeen Attributes

---111.222.59.87 111.222.123.219 tcp :4816 :135 0 : 0 3 144 120 20:13:05 L3 - Dynamic 111.222.57.132 111.222.123.219 tcp :4613 :135 0 : 0 3 144 142 20:12:43 L3 – Dynamic ………..이하 생략………..

Native

IOS

(32)

VACL을 이용한 내부 전염 방지

–

RACL 개념

Backbone

VLAN B Subnet B VLAN A Subnet A RACL에 의해서는 동일Subnet,VLAN의 Traffic Control 이 불가능하다??? RACL 기반의 접근제어 기법 다른 서브넷, VLAN으로 이동하는 Traffic Control

(33)

VACL을 이용한 내부 전염 방지

–

VACL 개념

Backbone

Switch(Vlan)

기반의 새로운 개념의

VACL

VLAN B

Subnet B

VLAN A

Subnet A

VACL을 통한 동일 VLAN,Subnet 에서의 Traffic 흐름 제어 가능!!! – Worm 차단 효과 VACL을 통한 Traffic 제어 동일VLAN,Subnet 내부의 Traffic 제어 기술

(34)

VACL을 이용한 내부 전염 방지

–

VACL 필요성 대두

Backbone

Switch

Distribution

Access

Switch

worm

IDS

F.W

Router

내부

Worm

전파를 막을 방법은 없다

…..

F.W

은 외부로 부터의 정의된 규칙에 위반된

Flow

만 막아 줄 뿐이다

.

IPS/IDS

는

Server Farm or Gateway

앞에서 인터넷을 향하는 내부 사용자를 감시한다

.

Router

에서의

ACL

은 인터넷 내부

.

외부로의 통과되는

Traffic

만을

Filtering

한다

.

내부

Worm

급속 확산 및 전파를 방지하기 위해서는 동일

Subnet,Vlan

내에서

filtering

이 가능한

Vlan

기반

ACL

필요

(35)

Blaster/Nachi-Welchai Defense

–

VACL을 통한 구성

Backbone

구성 방법

• Vlan

기반

ACL

정의

set security acl ip VACL deny udp any eq 4444 any

set security acl ip VACL deny udp any any eq 4444

set security acl ip VACL deny tcp any eq 135 any

set security acl ip VACL deny tcp any any eq 135

Æ

Blaster Worm

config

set security acl ip VACL deny tcp any eq 707 any

set security acl ip VACL deny tcp any any eq 707

Æ

Nachi worm

config

set security acl ip VACL permit ip any any

Æ

Worm

을 제외한 모든

traffic permit

• 정의된

VACL

을 해당

Vlan

에 적용

commit security acl VACL

set security acl map VACL <

적용하고저 하는

VLAN

번호

>

• VACL

해제 방법

clear security acl VACL

commit secuirty acl VACL

(36)

Blaster/Nachi-Welchai Defense

–

VACL을 통한 구성

Backbone

구성 방법

• 일반적인

ACL

정의

Switch(config)#ip access-list extended worm_block

Switch(config)# permit tcp any any 135

Switch(config)# permit tcp any any 139

Switch(config)# permit tcp any any 445

Switch(config)# permit tcp any any 4444

Switch(config)# permit tcp any any 707

Switch(config)# permit udp any any 69

Switch(config)# permit icmp any any echo

Switch(config)# permit icmp any any echo-reply

Æ

ICMP Echo Service

막을 경우

network

진단 방법이 어려워지므로

, PBR

을 권고

• Vlan AccessMap

정의

Switch(config) #vlan access-map worm_vacl 10

Switch(config)#match ip address worm_block

Æ

앞서 정의된 일반적인

ACL

을 불러들임

Switch(config)#action drop

Æ

일반적인

ACL

에 정의된 내용에 대한 부분은 모두

Drop

시킴

• 해당

Vlan Interface

에 적용

Switch(config)#vlan filter worm_vacl vlan-list 100 -150

Æ

VACL

이 적용될 해당

Vlan

을 선언해 주는 부분

Native

(37)

Blaster/Nachi-Welchai Defense

–

PBR을 통한 구성

Backbone

구성 방법 및 모니터링

Æ

MSFC

에서 적용

interface Null0

Cat OS

Native

(38)

Blaster/Nachi-Welchai Defense

–

Policing을 통한 구성

PFC2

only

eBurst

Burst

Rate

eRate - Rate

Bucket 2

Bucket 1

TCP 13

5,ICMP

echo/e

cho-rep

ly

TCP444

4,TCP7

07,UDP

69 TCP 13

5,ICMP

echo/e

cho-rep

ly

TCP444

4,TCP7

07,UDP

69 worm

worm

wormworm

Backbone

Cat OS

Native

IOS

(39)

Blaster/Nachi-Welchai Defense

–

Policing을 통한 구성

Backbone

구성 방법 mls qos

Æmls QoS enable

Access-list 113 permit icmp any any echo Access-list 113 permit icmp any any echo-reply

Æicmp attack marking

Access-list 111 permit tcp any any eq 135 Access-list 111 permit tcp any any eq 4444 Access-list 111 permit tcp any any eq 707

Access-list 111 permit udp any any eq 69……기타 포트 정의

ÆBlaster worm,Nachi worm marking Access-list 112 permit tcp any any syn

Æ8월 15일 이후 공격하는 syn flooding attack 방어marking

해당Class-map 정의

class-map match-all icmp_attack match access-group 113

class-map match-all Blaster_0815_attack match access-group 112

class-map match-all Blaster_Nachi match access-group 111

Æ각 Class에 해당되는ACL 포함시킴

Native

(40)

Blaster/Nachi-Welchai Defense

–

Policing을 통한 구성

Backbone

정책 정의 policy-map QoS

class icmp_attack

police 32000 1000 1000 conform-action transmit exceed-action drop violate-action drop class Blaster_0815_attack

police 32000 1000 1000 conform-action transmit exceed-action drop violate-action drop class Blaster_Nachi

police 32000 1000 1000 conform-action transmit exceed-action drop violate-action drop Æ 각Class 모두 32Kbps 이상이면 모두 Drop 시킴

Monitoring

Cat6500#sh policy-map interface gigabitEthernet 2/1 GigabitEthernet2/1

service-policy input: QoS class-map: attack (match-all)

0 packets

5 minute offered rate 0 pps match: access-group 113 police :

32000 bps 1000 limit 1000 extended limit aggregate-forwarded 0 packets action: transmit exceeded 44 packets action: drop

aggregate-forward 345 pps exceed 40 pps …이하 생략

Native

(41)

Blaster/Nachi-Welchai Defense

–

Policing을 통한 구성

Backbone

• 구성방법

set qos enable

Æ

QoS

활성화 시키기

• Policer

설정

set qos policer aggregate policer_worm rate 32 policed-dscp erate 32 drop burst 4 eburst 4

Æ

32Kbps

이상

worm

에 관련된

ACL

이 들어올 경우

Drop

시킨다

……

• QoS ACL

설정

– Marking

정의

set qos acl ip worm dscp 8 aggregate policer_worm tcp any any eq 135

set qos acl ip worm dscp 8 aggregate policer_worm tcp any any eq 4444

set qos acl ip worm dscp 8 aggregate policer_worm tcp any any eq 707

set qos acl ip worm dscp 8 aggregate policer_worm udp any any eq 69

set qos acl ip worm dscp 8 aggregate policer_worm icmp any any echo

set qos acl ip worm dscp 8 aggregate policer_worm icmp any any echo-reply

Æ

Blaster worm, Nachi worm,ICMP Attack

Cat OS

(42)

Blaster/Nachi-Welchai Defense

–

Policing을 통한 구성

• 활성화 및 적용

/

해제

commit qos acl worm

Æ

QoS ACL

활성화

set qos acl map worm 100

Æ

적용하고저 하는

Vlan or Interface

적용

Clear qos acl worm

Commit qos acl worm

Æ

QoS

해제

• Monitoring

기법

Cat6500> (enable) sh qos statistics aggregate-policer policer_worm

QoS aggregate-policer statistics:

Aggregate policer

Allowed packet Packets exceed Packets exceed

count normal rate excess rate

---

---policer_worm

268 11 11

Æ

해당

QoS

에 적용되어

Drop

되는

packet monitoring

Backbone

(43)

요약

Cisco 일반

Switch 방어 요령

Defense

Blaster Worm TCP 135/4444,UDP 69 내부전염방지 Nachi/Welchia TCP 135/707,UDP 69 내부전염방지 외,내부 ICMP 내부 전파 방지 내부ICMP limit – Policing 내부 유해ICMP 선택 방어 -PBR

Access

Client

Internet

Backbone

Server

Farm

(44)

Blaster/Nachi-Welchai Defense

–

VACL을 통한 구성

Access

구성 방법

• 일반적인

ACL

정의

Switch(config)#ip access-list extended worm_block

Switch(config)# permit tcp any any 135

Switch(config)# permit tcp any any 139

Switch(config)# permit tcp any any 445

Switch(config)# permit tcp any any 4444

Switch(config)# permit tcp any any 707

Switch(config)# permit udp any any 69

Switch(config)# permit icmp any any echo

Switch(config)# permit icmp any any echo-reply

Æ

ICMP Echo Service

막을 경우

network

진단 방법이 어려워지므로

, PBR

을 권고

• Vlan AccessMap

정의

Switch(config) #vlan access-map worm_vacl 10

Switch(config)#match ip address worm_block

Æ

앞서 정의된 일반적인

ACL

을 불러들임

Switch(config)#action drop

Æ

일반적인

ACL

에 정의된 내용에 대한 부분은 모두

Drop

시킴

• 해당

Vlan Interface

에 적용

Switch(config)#vlan filter worm_vacl vlan-list 100 -150

Æ

VACL

이 적용될 해당

Vlan

을 선언해 주는 부분

Cata

lyst

450 0/40

00

375 0/35

50 적용

가능

295

0 적용

불가

– AC

L

적용

(45)

Blaster/Nachi-Welchai Defense

–

PBR을 통한 구성

구성 방법 및 모니터링

interface Null0

(46)

Blaster/Nachi-Welchai Defense

–

Policing을 통한 구성

Access

구성방법

• QoS

활성화

mls qos map policed-dscp 48 to 16 mls qos

또는4500에서는 qos

• ACL

정의

access-list 199 permit icmp any any echo Access-list 199 permit icmp any any echo-reply

Æicmp attack 관련 ACL 정의

Access-list 198 permit tcp any any syn

Æsyn flooding attack 관련 ACL 정의

Access-list 197 permit tcp any any eq 135 Access-list 197 permit tcp any any eq 4444 Access-list 197 permit tcp any any eq 707 Access-list 197 permit udp any any eq 69

ÆBlaster,Nachi worm attack 관련ACL 정의

• Class Group

정의

class-map match-all icmp_attack

match access-group 199 Class-map match-all syn_attck

match access-group 198 Class-map access-group worm

match access-group 197

Cata

lyst

450 0/40

00

375 0/35

50/2

950

(47)

Blaster/Nachi-Welchai Defense

–

Policing을 통한 구성

• Policy (

정책

)

설정

policy-map p_worm

class icmp_attack set ip precedence 6

police 8000 8000 exceed-action drop class syn_attack

set ip precedence 5

police 8000 8000 exceed-action drop class worm

set ip precedence 4

police 8000 8000 exceed-action drop

Æicmp_attack,Syn_attack,worm traffic 이8Kbps이상이면Drop

• 해당

interface

에 설정

interface GigabitEthernet0/10

switchport access vlan 100 switchport mode access no ip address

load-interval 30

mls qos monitor dscp 8 16 24 32 40 mls qos monitor packets

service-policy input p_worm

Access

(48)

Blaster/Nachi-Welchai Defense

–

Policing을 통한 구성

Access

_•

_Monitoring

_기법

sh mls qos interface gigabitEthernet 0/10 statistics

GigabitEthernet0/10

Ingress

dscp: incoming no_change

classified policed dropped (in bytes)

8 : 0 0 0 0 0

16: 0 0 0 0 0

24: 0 0 0 0 0

32: 0 0 9 0 0

40: 0 0 3 0 0

48: 0 0

2705898 0 27026238

Others: 27104548 41526 4624 0 0

(49)

Blaster Worm

Router

에서의 방어 전략

Switch

에서의 방어 전략

Switch Security Service Module

(50)

Firewall Design Issue

방화벽에 대한 Dilemma 두 가지….

1. 새로운 보안장비의 도입은 성능을 반비례 시킨다 ???

2. 보안장비의 성능 강화를 위해 복잡한 디자인을 가져가야 한다 ???

1

2

1 Case 1 - 성능

새로운 병목 구간 등장

“

대역폭/성능

”

1Mpps

150Mpps ~

2Mpps

처리속도

ISP - B ISP - A

1Gbps

100Mbps

100M

bps

대역폭

Router 방화벽 Core Switch

(51)

Firewall Design Issue

2 방화벽에 대한 Dilemma 두 가지….

1. 새로운 보안장비의 도입은 성능을 반비례 시킨다 ???

2. 보안장비의 성능 강화를 위해 복잡한 디자인을 가져가야 한다 ???

1

2 Case 2 - Design

다수의 관리 Point

구성이 복잡하다

Management Overhead 발생

L4switch L2switch L2switch L4switch

방화벽 Core

Switch Router

복잡한

(52)

Firewall Design Issue

ISP - B ISP - A 1Gbps 100Mbp s 100Mbp s 100Mbp s 100Mbp s Router 방화벽 Core Switch

L4switch L2switch L2switch L4switch

방화벽 Core Switch Router

성능 Issue

구성 Issue

F/W

모듈형 방화벽 구조 선택

F/W

모듈형 방화벽 구조 Router 구성

(53)

What does it do

…

100K new connections/sec for

HTTP, DNS and enhanced SMTP

100 VLAN

지원

LAN failover active/standby

Dynamic Routing I.e. OSPF

단일 샤시 내

multiple blades

지원

128K Rule Set

지원

No IDS Signatures

Supported on Native IOS and CatOS

( IOS12.1(13)E / Cat OS 7.5(1))

Classic 32G bus/Fabric 256G bus

PIX 6.0 base Feature Set

(some feature of 6.2 )

High Performance Firewall, targeted

OC48 or 5GB (aggregated)

Concurrent connections : 1M

3 Million pps

FWSM

(54)

Catalyst 6500 IDSM-2 요약 소개

Catalyst 7600/6500 IDSM II

실시간 침입 탐지 감시

폭넓은 침입 탐지 인식 및 감시

확장된 침입 탐지 유형

다중

VLAN

탐지 기능

32Gb bus/ Fabric

과의 연동 구조

Switch

성능 저하 없는

monitoring

구조

Passive Monitoring

Transparent Operation

IDSM

관리를 위한

IDS Device Manager

지원

IDSM

관리를 위한

IDS Event Viewer

지원

Feature Parity with IDS Appliances

Cat OS 7.5(1)/IOS 12.1(19)E

New IDSM-2

600Mbps

높은 성능

5000 cps(

초당

TCP

처리 수

)

동시 접속 수 최대

500,000

개

(55)

IDSM 동작 원리

IDSM2

침입탐지 유형에 대한 지속적인

탐지 및 이상징후 포착 시 Alarm

Attacker

침입자의 침입시도

1 packet 감시 및

침입식별

2

(56)

Cat 6500

Cisco 7600

PIX Series

Router

ACL

자동 추가

VACL

자동 추가

Inside Host

자동 차단

Sh

un

ing

Shuning

Sh

unin

_g

(57)

IDMS

을 통해 자동

ICMP Attack

방어 기능을 수행한

configuration

set security acl ip IDS_160_0 permit arp

set security acl ip IDS_160_0 permit ip host 111.222.255.124 any

set security acl ip IDS_160_0 deny ip host 111.222.232.104 any

set security acl ip IDS_160_0 deny ip host 111.139.201.208 any

set security acl ip IDS_160_0 deny ip host 29.167.221.167 any

set security acl ip IDS_160_0 deny ip host 24.62.58.63 any

set security acl ip IDS_160_0 deny ip host 24.51.18.96 any

set security acl ip IDS_160_0 deny ip host 21.65.155.5 any

set security acl ip IDS_160_0 deny ip host 12.47.48.228 any

set security acl ip IDS_160_0 deny ip host 21.20.122.119 any

set security acl ip IDS_160_0 deny ip host 65.95.6.251 any

set security acl ip IDS_160_0 deny ip host 68.45.16.20 any

set security acl ip IDS_160_0 deny ip host 8.111.3.213 any

set security acl ip IDS_160_0 deny ip host 61.7.37.144 any

………..

(58)

NAM II Introduce

Application Monitoring

Performance Management

Troubleshooting

Trend Analysis

Capacity planning

VOIP Monitoring

QoS and DSCP monitoring

MIB II – RFC1213 지원

RMON (RFC2819) All groups

RMON2 (RFC2021) All groups

S(swtich)MON (RFC2613) 지원

DSMON

지원

ART MIB/ HCRMON

지원

NAM SW v3.1(CatOS 7.3(1)/IOS

12.1(13)E support)

Classic 32Gbps Bus/ 256Gbps Fabric

연동 가능

1Gb RAM

지원

128Mb capture buffer

저장 공간 지원

NAM-2

(59)

NAM

소개

–

cont

RMON I,II

HCRMON

SMON

DSMON

ART

Voice Analysis

Mini-RMON

Per Port

HTTP/S

SNMP

NAM Blade

Catalyst 6000/6500

Cisco 7600

nGenius Real Time Monitor

or 3rd party applications

(aggregation of multiple NAMs)

NAM Integrated

Traffic Analyzer

(easy to deploy and use)

Flexible data

sources:

SPAN (detailed)

Netflow (broad)

VACL (specific)

Layer 2

Layer 3-7

NEW NEW Enhanced Enhanced Enhanced Enhanced

(60)

Architeture

NAM Embedded Traffic Analyzer

Cisco Catalyst

Switch

Mini RMON

Mini RMON

Cisco

Router

NetFlow

NetFlow Re cords SPAN Source HTTP Multicast FTP

(61)

(62)

(63)

(64)

(65)

Blaster Worm

Router

에서의 방어 전략

Switch

에서의 방어 전략

Switch Security Service Module

(66)

사내

CERT team

조직이 시급합니다

.

Server ,Network , PC manager

전산 자원에 대한 전체적인 점검

…..

현재 상태를 정확히 분석할 필요성 대두

넓게 보는

Security Design

End to End

의 보안 구성이 필요

꾸준한 교류와 인적 양성

기계를 다루는 것은 인간입니다

.

그들이 뛰어나야 올바른 운영과 관리가

가능합니다

.

(67)

mailto: whchoi@cisco.com

www.cisco.com

Network Worm/DoS. System Engineer. Cisco Systems Korea

최 우 형

(whchoi@cisco.com)

System Engineer



Blaster Worm



Router

에서의 방어 전략



Switch

에서의 방어 전략



Switch Security Service Module



Blaster Worm



Router

에서의 방어 전략



Switch

에서의 방어 전략



Switch Security Service Module

2003.08.11~08.14

Server

Farm

Msblast.exe

TCP135,4444

Msblast.exe

Access

Client

Internet

Backbone

2003.08.15~

Internet

Backbone

Access

Client

Server

Farm

Msblast.exe

Syn flooding

Attack

변종 Nachi/Welchia worm

Internet

Backbone

Access

Client

Server

Farm

Nachi worm

Nachi worm

ICMP



Blaster Worm



Router

에서의 방어 전략



Switch

에서의 방어 전략

요약

Cisco Router 에서의 방어 요령

1.

Monitoring

2.

Defense

Access

Client

Internet

Backbone

Server

Farm

Blaster worm Monitoring

1.

Netflow Enable

Router(config)#ip cef

Router(config)#interface fastethernet 0 (Monitoring

하려는