TIP sobre configuración de reglas denegativas de direcciones IP (malwares Grabbit y Turla)

Saludos nuevamente.

Ayer añadí dos post: “De Secure List: Grabit and the RATs (28/05/2015)” y “De Secure List: Satellite Turla: APT Command and Control in the Sky (09/09/2015)“, los cuales fueron dos de los mensajes que recibo de la lista de distribución de Secure List. En la parte final de los mismos se muestran conjuntos de direcciones IP que utilizan los malwares a los que hacen referencia sus respectivos textos.

En este post quiero mostrarles dos ejemplos de cómo configurar reglas denegativas de estos conjuntos de IP en un router Cisco y en un PC-Router con VyOS instalado. Espero les sean de utilidad. 🙂

Configuración de las ACLs de un router Cisco

He aquí la parte más complicada de toda la configuración de un router: las ACLs. Las mismas se comportan como un cortafuegos primario del router (OJO: el firewalling de este tipo de router no es de un nivel tan alto como el de otros appliances de Cisco destinados solamente a esta función en las redes). Este tipo de cortafuegos actúa fundamentalmente en las capas 3 y 4 del modelo OSI, o sea, las Capas de Red y Transporte.

En el caso que nos ocupa, se pensó en un esquema sencillo para las ACLs, pero luego de muchísimas pruebas e intentos fallidos, se logró un esquema que posibilitó que la CPU del router no tuviese un uso intensivo en los horarios picos, en otras palabras, no rebasa el 40% de uso del CPU a pesar de que el router tiene ACLs con una buena cantidad de reglas. En dicho esquema se estableció que en su primer grupo de reglas, independientemente del sentido del tráfico de red, se ubicasen las que tienen que ver con denegar el acceso desde/hacia direcciones IP utilizadas por virus o malware, así como de graciosos que les gusta chivar.

Por ejemplo, en el router donde probamos la configuración para denegar las direcciones IP de Grabbit y Turla pusimos lo siguiente:

Tráfico entrante:

ip access-list extended inbound-internet-filter
deny   ip host 31.220.16.147 any log-input
deny   ip host 31.170.163.242 any log-input
deny   ip host 31.170.164.81 any log-input
deny   ip host 112.209.76.184 any log-input
deny   ip host 128.90.15.98 any log-input
deny   ip host 185.28.21.32 any log-input
deny   ip host 185.28.21.35 any log-input
deny   ip host 185.77.128.65 any log-input
deny   ip host 193.0.200.136 any log-input
deny   ip host 204.152.219.78 any log-input
deny   ip host 208.91.199.223 any log-input
deny   ip host 84.11.79.6 any log-input
deny   ip host 41.190.233.29 any log-input
deny   ip host 62.243.189.187 any log-input
deny   ip host 62.243.189.215 any log-input
deny   ip host 62.243.189.231 any log-input
deny   ip host 77.246.71.10 any log-input
deny   ip host 77.246.76.19 any log-input
deny   ip host 77.73.187.223 any log-input
deny   ip host 82.146.166.56 any log-input
deny   ip host 82.146.166.62 any log-input
deny   ip host 82.146.174.58 any log-input
deny   ip host 83.229.75.141 any log-input
deny   ip host 92.62.218.99 any log-input
deny   ip host 92.62.219.172 any log-input
deny   ip host 92.62.220.170 any log-input
deny   ip host 92.62.221.30 any log-input
deny   ip host 92.62.221.38 any log-input
deny   ip host 209.239.79.121 any log-input
deny   ip host 209.239.79.125 any log-input
deny   ip host 209.239.79.15 any log-input
deny   ip host 209.239.79.152 any log-input
deny   ip host 209.239.79.33 any log-input
deny   ip host 209.239.79.35 any log-input
deny   ip host 209.239.79.47 any log-input
deny   ip host 209.239.79.52 any log-input
deny   ip host 209.239.79.55 any log-input
deny   ip host 209.239.79.69 any log-input
deny   ip host 209.239.82.7 any log-input
deny   ip host 209.239.85.240 any log-input
deny   ip host 209.239.89.100 any log-input
deny   ip host 217.194.150.31 any log-input
deny   ip host 217.20.242.22 any log-input
deny   ip host 217.20.243.37 any log-input
(…)

Tráfico saliente:

ip access-list extended outbound-internet-filter
deny   ip A.B.C.D 0.0.0.7 host 31.220.16.147 log
deny   ip A.B.C.D 0.0.0.7 host 31.170.163.242 log
deny   ip A.B.C.D 0.0.0.7 host 31.170.164.81 log
deny   ip A.B.C.D 0.0.0.7 host 112.209.76.184 log
deny   ip A.B.C.D 0.0.0.7 host 128.90.15.98 log
deny   ip A.B.C.D 0.0.0.7 host 185.28.21.32 log
deny   ip A.B.C.D 0.0.0.7 host 185.28.21.35 log
deny   ip A.B.C.D 0.0.0.7 host 185.77.128.65 log
deny   ip A.B.C.D 0.0.0.7 host 193.0.200.136 log
deny   ip A.B.C.D 0.0.0.7 host 204.152.219.78 log
deny   ip A.B.C.D 0.0.0.7 host 208.91.199.223 log
deny   ip A.B.C.D 0.0.0.7 host 84.11.79.6 log
deny   ip A.B.C.D 0.0.0.7 host 41.190.233.29 log
deny   ip A.B.C.D 0.0.0.7 host 62.243.189.187 log
deny   ip A.B.C.D 0.0.0.7 host 62.243.189.215 log
deny   ip A.B.C.D 0.0.0.7 host 62.243.189.231 log
deny   ip A.B.C.D 0.0.0.7 host 77.246.71.10 log
deny   ip A.B.C.D 0.0.0.7 host 77.246.76.19 log
deny   ip A.B.C.D 0.0.0.7 host 77.73.187.223 log
deny   ip A.B.C.D 0.0.0.7 host 82.146.166.56 log
deny   ip A.B.C.D 0.0.0.7 host 82.146.166.62 log
deny   ip A.B.C.D 0.0.0.7 host 82.146.174.58 log
deny   ip A.B.C.D 0.0.0.7 host 83.229.75.141 log
deny   ip A.B.C.D 0.0.0.7 host 92.62.218.99 log
deny   ip A.B.C.D 0.0.0.7 host 92.62.219.172 log
deny   ip A.B.C.D 0.0.0.7 host 92.62.220.170 log
deny   ip A.B.C.D 0.0.0.7 host 92.62.221.30 log
deny   ip A.B.C.D 0.0.0.7 host 92.62.221.38 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.79.121 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.79.125 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.79.15 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.79.152 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.79.33 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.79.35 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.79.47 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.79.52 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.79.55 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.79.69 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.82.7 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.85.240 log
deny   ip A.B.C.D 0.0.0.7 host 209.239.89.100 log
deny   ip A.B.C.D 0.0.0.7 host 217.194.150.31 log
deny   ip A.B.C.D 0.0.0.7 host 217.20.242.22 log
deny   ip A.B.C.D 0.0.0.7 host 217.20.243.37 log
(…)

Donde A.B.C.D es el rango de direcciones IP externas de la organización. Por supuesto, asumiendo que tenga un rango externo /29, es por eso que se usa la máscara wildcard 0.0.0.7. Por cierto, el concepto de máscara wildcard (wildcard mask) se puede encontrar en la Wikipedia inglesa, que dice (parte):

A wildcard mask is a mask of bits that indicates which parts of an IP address are available for examination. In the Cisco IOS, they are used in several places, for example:

To indicate the size of a network or subnet for some routing protocols, such as OSPF.
To indicate what IP addresses should be permitted or denied in access control lists (ACLs).

Configuración del cortafuegos en un PC-Router con VyOS

De usarse un PC-Router con VyOS, la configuración es similar, lo que hay que realizar más pasos. Por ejemplo, supongamos que tenemos una subred donde están los servidores de la DMZ, que tenemos activado el cortafuegos del VyOS y utilizando políticas de zona (la desventaja de este modo es que hay que crear N2 + N conjuntos de reglas, las cuales se aplican a todas las interfaces o subinterfaces de red del PC-Router, incluyendo al mismo). Entonces, el segmento de configuración del cortafuegos sería:

En la parte de los grupos de direcciones IP iría esto:

set firewall group address-group ipset_malware_viruses_chvdrs address 31.220.16.147
set firewall group address-group ipset_malware_viruses_chvdrs address 204.152.219.78
set firewall group address-group ipset_malware_viruses_chvdrs address 128.90.15.98
set firewall group address-group ipset_malware_viruses_chvdrs address 31.170.163.242
set firewall group address-group ipset_malware_viruses_chvdrs address 185.77.128.65
set firewall group address-group ipset_malware_viruses_chvdrs address 193.0.200.136
set firewall group address-group ipset_malware_viruses_chvdrs address 208.91.199.223
set firewall group address-group ipset_malware_viruses_chvdrs address 31.170.164.81
set firewall group address-group ipset_malware_viruses_chvdrs address 185.28.21.35
set firewall group address-group ipset_malware_viruses_chvdrs address 185.28.21.32
set firewall group address-group ipset_malware_viruses_chvdrs address 112.209.76.184
set firewall group address-group ipset_malware_viruses_chvdrs address 84.11.79.6
set firewall group address-group ipset_malware_viruses_chvdrs address 41.190.233.29
set firewall group address-group ipset_malware_viruses_chvdrs address 62.243.189.187
set firewall group address-group ipset_malware_viruses_chvdrs address 62.243.189.215
set firewall group address-group ipset_malware_viruses_chvdrs address 62.243.189.231
set firewall group address-group ipset_malware_viruses_chvdrs address 77.246.71.10
set firewall group address-group ipset_malware_viruses_chvdrs address 77.246.76.19
set firewall group address-group ipset_malware_viruses_chvdrs address 77.73.187.223
set firewall group address-group ipset_malware_viruses_chvdrs address 82.146.166.56
set firewall group address-group ipset_malware_viruses_chvdrs address 82.146.166.62
set firewall group address-group ipset_malware_viruses_chvdrs address 82.146.174.58
set firewall group address-group ipset_malware_viruses_chvdrs address 83.229.75.141
set firewall group address-group ipset_malware_viruses_chvdrs address 92.62.218.99
set firewall group address-group ipset_malware_viruses_chvdrs address 92.62.219.172
set firewall group address-group ipset_malware_viruses_chvdrs address 92.62.220.170
set firewall group address-group ipset_malware_viruses_chvdrs address 92.62.221.30
set firewall group address-group ipset_malware_viruses_chvdrs address 92.62.221.38
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.79.121
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.79.125
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.79.15
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.79.152
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.79.33
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.79.35
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.79.47
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.79.52
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.79.55
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.79.69
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.82.7
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.85.240
set firewall group address-group ipset_malware_viruses_chvdrs address 209.239.89.100
set firewall group address-group ipset_malware_viruses_chvdrs address 217.194.150.31
set firewall group address-group ipset_malware_viruses_chvdrs address 217.20.242.22
set firewall group address-group ipset_malware_viruses_chvdrs address 217.20.243.37

En la parte de los conjuntos de reglas relacionadas con las subredes DMZ e Internet estarían estas reglas:

(…)
set firewall name servs_dmz-wan_internet rule 2 action reject
set firewall name servs_dmz-wan_internet rule 2 description “Denegar acceso hacia direcciones IP de malware, viruses y/o chivadores”
set firewall name servs_dmz-wan_internet rule 2 destination group address-group ipset_malware_viruses_chvdrs
set firewall name servs_dmz-wan_internet rule 2 log enable
(…)
set firewall name wan_internet-servs_dmz rule 2 action reject
set firewall name wan_internet-servs_dmz rule 2 description “Denegar acceso desde direcciones IP de malware, viruses y/o chivadores”
set firewall name wan_internet-servs_dmz rule 2 log enable
set firewall name wan_internet-servs_dmz rule 2 source group address-group ipset_malware_viruses_chvdrs
(…)

Las mismas son reglas a nivel de Capa 3 (Capa IP).

Pienso que para los que usan pfSense como appliance de routing/firewalling les resulte mucho más fácil añadir estas reglas, dado que el mismo usa una interfaz gráfica web muy intuitiva.

NOTA: Aparte de restrigir el acceso a nivel de capa 3 en los routers, por si acaso, también es bueno añadir tanto los nombres FQDN como las direcciones IP en los demás servicios (Servidores de Correo internos y externos, Proxies de Navegación, etc.). Somos humanos y nos podemos equivocar u omitir algún dato, por eso es bueno crear reglas denegativas en todos los niveles de seguridad.

😀

 

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Cisco, Cortafuegos, Firewall, Grabbit, Malware, Routing, Secure List, Turla, Virus, Vyatta/VyOS/EdgeOS. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *