RTX830에서 불법 액세스가 감지되어 처리됨

YAMAHA 업무용 라우터 RTX830의 IDS에서 불법 접근이 감지된 것 같아 경보 메일을 받았다.
만약 빠뜨리지 않았다면 아마 이번이 처음일 것이다.
컨텐트
라우터 설정
mail server name 1 FOO
mail server smtp 1 smtp.bar.com port=587 smtp-auth foo bar plain
mail template 1 1 From:[email protected] To:[email protected]
mail notify 1 1 trigger intrusion * in/out
mail notify 2 1 trigger status all
우편물을 받다
From: [email protected] <[email protected]>
Sent: Tuesday, June 9, 2020 10:05 PM
To: [email protected]
Subject: Mail for Backup Info/Route Change Info/Filter Info/Status Info/Intrusion Info/Lua Info/Lan Map Info

Model: RTX830
SystemName: RTX830_M5B099999
Revision: Rev.15.02.14
Time: 2020/06/09 22:04:30
Template ID: 1

ID   時刻                インタフェース    不正アクセス検知内容
------------------------------------------------------------------------------
0001 2020/06/09 22:03:59      PP[01] [ in] ICMP timestamp req    
                                           (45.43.33.XXX    -> 202.248.XXX.YYY  )
202.248.XXX.YYY는 공급업체와 계약한 글로벌 IP 주소입니다.45.43.33.XXX는 발신자의 IP 주소입니다.공격자지만 일단 엄폐해 두자.
조사해 보니 홍콩에서 먼 길을 온 것 같다.
이른바 ICMP timestampreq
경고에 나열된 ICMP timestamp req(타임 스탬프 요청)를 이해하기 위해서는 ICMP(Internet Control Message Protocol)의 다양한 유형의 기능을 터치해야 하므로 다음 표로 요약합니다.
타입
기능
0
에코 응답
3
목적지에 도달할 수 없음(Destination Unreachable)
4
소스 억제(Source Quench)
5
리디렉션 요청(Redirect)
8
에코 요청
9
라우터 알림
10
라우터 선택(Router Selection)
11
시간 초과(Time Exceedd)
12
매개변수 예외(Parameter Problem)
13
타임스탬프 요청(Timestamp Request)
14
타임스탬프 응답
15
정보 요청(Information Request)
16
정보 응답(Information Reply)
17
주소 마스크 요청
18
주소 마스크 응답
자세한 내용은 RFC792를 참조하십시오.
매번 익숙한 ping 명령은 형식 8의 메아리 요청을 목적지로 보내고 목적지 노드는 형식 0의 메아리 응답 그룹을 되돌려줍니다.
ICMP 시간 요청은 유형 13의 시간 스탬프 요청을 그룹으로 나누어 목적지에 보내고 목적지 노드는 유형 14의 시간 스탬프 응답 그룹으로 되돌려 원격 시스템의 현재 시간을 얻는다.
시스템 시간을 알면 공격자는 TCP 번호를 더욱 정확하게 추측할 수 있어 암호 공격을 하기 쉽다.또한 다른 방법을 사용하여 원격 시스템의 OS를 식별할 수도 있습니다.
처리하다.
ICMP 시간 요청에 응답하지 않으면 됩니다.
명령하다
ip filter 静的フィルタ番号 reject * * icmp 13
웹 GUI의 경우 [IP 필터]▶ [정적 필터]를 사용하여 수신 방향 정의를 편집합니다.

구성 테스트hping3 명령을 사용하여 실제 투척 시간을 요청하는 것은 간단하다.
이때 전역 IP 주소를 틀리면 공격자가 될 수 있으니 주의하세요!
명령하다
apt -y install hping3

hping3 -1 -C 13 aaa.bbb.ccc.ddd
HPING aaa.bbb.ccc.ddd (enp1s0 aaa.bbb.ccc.ddd): icmp mode set, 28 headers + 0 data bytes
hping3 이곳의 보도는 매우 상세하다.
https://qiita.com/hana_shin/items/8147777ff42e7dad89d6
RTX830 SYSLOG에서 Reject를 확인하면 OK.
SYSLOG
2020/06/09 23:11:40: PP[01] Rejected at IN(200104) filter: ICMP AAA.BBB.CCC.DDD > aaa.bbb.ccc.ddd : time stamp
IP 그룹 필터를 사용하는 로그도 잊지 마십시오.(기본값은 유효하지 않음)
명령하다
syslog notice on
웹 GUI의 경우 NOTICE를 확인합니다.

좋은 웹페이지 즐겨찾기