소개
이 문서에서는 Secure Malware Analytics의 원활한 작동을 위해 방화벽에 구현하는 데 필요한 필수 네트워크 컨피그레이션에 대해 간략하게 설명합니다.
기고자: Cisco TAC 엔지니어
보안 악성코드 분석 클라우드
미국 클라우드
액세스 URL: https://panacea.threatgrid.com
호스트 이름 |
IP |
포트 |
세부사항 |
panacea.threatgrid.com |
IPv4: 63.97.201.67 63.162.55.67 IPv6: 2602:811:9007:6::61 2602:811:900b:6::6e |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.chi.threatgrid.com |
IPv4: 200.194.241.35 IPv6: 2602:811:900f:6::6e |
443 |
샘플 상호작용 창 |
glovebox.rcn.threatgrid.com |
IPv4: 63.97.201.67 IPv6: 2602:811:9007:6::61 |
443 |
샘플 상호작용 창 |
glovebox.scl.threatgrid.com |
IPv4: 63.162.55.67
IPv6: 2602:811:900b:6::6e |
443 |
샘플 상호작용 창 |
fmc.api.threatgrid.com |
IPv4: 63.97.201.67 63.162.55.67 IPv6: 2602:811:9007:6::61 2602:811:900b:6::6e |
443 |
FMC/FTD 파일 분석 서비스 |
EU(유럽) 클라우드
액세스 URL: https://panacea.threatgrid.eu
호스트 이름 |
IP |
포트 |
세부사항 |
panacea.threatgrid.eu |
62.67.214.195 200.194.242.35 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.muc.threatgrid.eu |
62.67.214.195 |
443 |
샘플 상호작용 창 |
glovebox.fam.threatgrid.eu
|
200.194.242.35 |
443 |
샘플 상호작용 창
|
fmc.api.threatgrid.eu |
62.67.214.195 200.194.242.35 |
443 |
FMC/FTD 파일 분석 서비스 |
기존 IP 89.167.128.132가 폐기되었습니다. 위의 IP로 방화벽 규칙을 업데이트하십시오.
CA(캐나다) 클라우드
액세스 URL: https://panacea.threatgrid.ca
호스트 이름 |
IP |
포트 |
세부사항 |
panacea.threatgrid.ca |
200.194.240.35 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.kam.threatgrid.ca |
200.194.240.35 |
443 |
샘플 상호작용 창 |
fmc.api.threatgrid.ca |
200.194.240.35 |
443 |
FMC/FTD 파일 분석 서비스 |
AU(호주) 클라우드
액세스 URL: https://panacea.threatgrid.com.au
호스트 이름 |
IP |
포트 |
세부사항 |
panacea.threatgrid.com.au |
124.19.22.171 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
glovebox.syd.threatgrid.com.au |
124.19.22.171 |
443 |
샘플 상호작용 창 |
fmc.api.threatgrid.com.au |
124.19.22.171 |
443 |
FMC/FTD 파일 분석 서비스 |
Secure Malware Analytics Appliance
다음은 Secure Malware Analytics Appliance의 인터페이스당 권장되는 방화벽 규칙입니다.
더티 인터페이스
이는 VM이 인터넷과 통신하는 데 사용되므로 샘플이 DNS를 확인하고 C&C(command and control) 서버와 통신할 수 있습니다.
허용:
방향
|
프로토콜
|
포트
|
대상
|
호스트 이름
|
세부사항
|
아웃바운드
|
IP
|
모두
|
모두
|
|
여기서 Deny 섹션에 지정된 위치를 제외하고는 권장됩니다.
분석을 위해 연결을 허용하는 데 사용됩니다.
|
아웃바운드
|
TCP
|
22
|
63.97.201.98 2
63.162.55.98 2
|
support-snapshots.threatgrid.com
|
자동 지원 진단 업로드에 사용됩니다.
참고: 소프트웨어 버전 1.2 이상이 필요합니다.
|
아웃바운드
|
TCP
|
22
|
54.173.181.217 1
54.173.182.46 1
63.162.55.97 2
63.97.201.97 2
|
appliance-updates.threatgrid.com
|
어플라이언스 업데이트
|
아웃바운드
|
TCP
|
19791
|
54.164.165.137 1
34.199.44.202 1
63.97.201.96 2
63.162.55.96 2
|
|
원격 지원/어플라이언스 지원 모드
|
아웃바운드
|
TCP
|
22
|
54.173.124.172 1 63.97.201.99 2 63.162.55.99 2 |
appliance-licensing.threatgrid.com
|
라이센스 관리
|
1 조만간 이러한 IP를 사용할 수 없게 됩니다.
2. 1의 IP를 대체할 IP입니다. 가까운 시일 내에 IP 변경에 대한 통신이 이루어질 때까지 두 IP를 모두 추가하는 것이 좋습니다.
원격 네트워크 종료
이는 어플라이언스에서 VM 트래픽을 이전에 tg-tunnel로 알려진 원격 출구로 터널링하는 데 사용됩니다.
방향 |
프로토콜 |
포트 |
대상 |
아웃바운드 |
TCP |
21413 |
173.198.252.53 |
아웃바운드 |
TCP |
21413 |
163.182.175.193 * * |
아웃바운드 |
TCP |
21417 |
69.55.5.250 |
아웃바운드 |
TCP |
21415 |
69.55.5.250 |
아웃바운드 |
TCP |
21413 |
76.8.60.91 |
참고: 원격 출구 4.14.36.142가 제거되어 더 이상 운영 중이 아닙니다. 언급된 모든 IP를 방화벽 예외 목록에 추가해야 합니다.
** 원격 출구 163.182.175.193은 173.198.252.53으로 교체됩니다.
거부:
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
아웃바운드
|
SMTP
|
모두 |
모두
|
악성코드가 스팸을 전송하지 않도록 합니다.
|
인바운드
|
IP
|
모두
|
Secure Malware Analytics Appliance 더티 인터페이스
|
위의 Allow 섹션에 지정된 경우를 제외하고는 권장됩니다.
분석을 위해 통신을 허용하는 데 사용됩니다.
|
깨끗한 인터페이스
이는 다양한 연결된 서비스에서 샘플을 제출하고 분석가를 위한 UI 액세스에 사용됩니다.
허용:
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
인바운드
|
TCP
|
443 및 8443
|
Secure Malware Analytics Appliance 안전한 인터페이스
|
WebUI 및 API 액세스
|
인바운드
|
TCP
|
9443
|
Secure Malware Analytics Appliance 안전한 인터페이스
|
글로브박스에 사용
|
인바운드
|
TCP
|
22
|
Secure Malware Analytics Appliance 안전한 인터페이스 |
|
아웃바운드
|
TCP
|
19791
|
호스트: rash.threatgrid.com
54.164.165.137 1 34.199.44.202 1
63.97.201.96 2 63.162.55.96 2
|
Secure Malware Analytics 지원을 위한 복구 모드
|
1 조만간 이러한 IP를 사용할 수 없게 됩니다.
2. 1의 IP를 대체할 IP입니다. 가까운 시일 내에 IP 변경에 대한 통신이 이루어질 때까지 두 IP를 모두 추가하는 것이 좋습니다.
관리 인터페이스
관리 콘솔 또는 사용자 인터페이스에 액세스하는 데 사용됩니다.
허용:
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
인바운드
|
TCP
|
443 및 8443
|
Secure Malware Analytics Appliance 관리 인터페이스
|
하드웨어 및 라이센스에 대한 설정을 구성하는 데 사용됩니다. |
인바운드
|
TCP
|
22
|
Secure Malware Analytics Appliance 관리 인터페이스 |
SSH를 통한 관리자 TUI 액세스 |