[방화벽] Cyberoam Invalid Traffic

1. Invalid Traffic 이 발생하는 조건?

 

Invalid Traffic이 발생하는 조건은 여러 가지가 있습니다.

Invalid Traffic이 발생하는 주요 원인은 다음과 같습니다.

 

1) Assymetric routing(비대칭 라우팅)
호스트 A에서 호스트 B까지의 경로와 호스트 B에서 호스트 A까지의 경로가 다른 경우를 말합니다.
기본적으로 방화벽은 Stateful Instpection(상태기반 감시) 기술을 사용합니다. 쉽게 말하자면 State(상태)를 Full(전체)로 확인한다는 뜻입니다. 따라서 통신 경로가 동일해야만 모든 연결 상태가 체크 가능 합니다. 이후 연결상태에 위배되는 패킷이 올 경우 차단하게 됩니다.

2) Non- RFC standard of traffic(RFC 규약에 맞지 않는 트래픽)

    RFC는 TCP/IP model에서 network layer의 동작을 규정하는 문서 입니다.

    모든 프로토콜에는 RFC 규약이 있으며, 기본적으로 규약을 따르도록 되어있습니다.

    RFC는 네트워크 통신에 대한 상호 약속이라고 할 수 있습니다.

   

   

3) Settings under the advanced firewall(output below). (형식에 맞지 않는 트래픽)

    확장된 방화벽 기능으로써 알려지지 않은 공격에 대하여 차단하는 기능입니다.

    비정상적으로 통신하는 세션을 감지하여 차단합니다.

 

More information can be found from the console guide.

console> show advanced-firewall

        Strict Policy                              : on

        FtpBounce Prevention                    : data

        Tcp Conn. Establishment Idle Timeout    : 432000

        Fragmented Traffic Policy                 : allow

        Midstream Connection Pickup             : on

        TCP Seq Checking                        : off

        TCP Window Scaling                      : on

        TCP Appropriate Byte Count              : on

        TCP Selective Acknowledgements         : off

        TCP Forward RTO-Recovery[F-RTO]       : off

        TCP TIMESTAMPS                         : off

        Strict ICMP Error Tracking                 : off

 

반응형

2. fw_rule_id = 0 이 장비 자체의 default 설정인지?

fw_rule_id = 0 로그는 장비에서 기본적으로 제공하는 DENY 정책 입니다.

Invalid traffic과 방화벽 기본 차단Rule에 해당 됩니다.

 

3. 개선방안

1) advanced-firewall – strict policy off

2) TCP Seq Checking off(TCP 시퀀스 체크 off)

3) TCP Selective Acknowledgements off

4) bypass rule 적용(advanced-firewall)

 

<Invalid traffic>

 

Cyberoam will define following traffic as Invalid traffic:
·     Short IP Packet
·     IP Packets with bad IP checksum
·     IP Packets with invalid header and/or data length
·     Truncated/malformed IP packet
·     Packets of Ftp-bounce Attack
·     Short ICMP packet
·     ICMP packets with bad ICMP checksum
·     ICMP packets with wrong ICMP type/code
·     Short UDP packet
·     Truncated/malformed UDP packet
·     UDP Packets with bad UDP checksum
·     Short TCP packet
·     Truncated/malformed TCP packet
·     TCP Packets with bad TCP checksum
·     TCP Packets with invalid flag combination
·     Cyberoam TCP connection subsystem not able to relate TCP Packets to any connection

 

If Strict Internet Access Policy is applied then Cyberoam will define following traffic also as Invalid traffic:
·     UDP Packets with Destination Port 0
·     TCP Packets with Source Port and/or Destination Port 0
·     Land Attack
·     Winnuke Attack
·     TCP Syn Packets contains Data
·     IP Packet with Protocol Number 0
·     IP Packet with TTL Value 0

 

 

<Invalid Fragmented traffic>

 

Cyberoam will define following traffic as Invalid Fragmented traffic:
·     Fragment Queue out of memory while reassembling IP fragments
·     Fragment Queue Timeout while reassembling IP fragments
·     Fragment too far ahead while reassembling IP fragments
·     Oversized IP Packet while reassembling IP fragments
·     Fragmentation failure while creating fragments