소개
이 문서에서는 Secure Malware Analytics의 원활한 작동을 위해 방화벽에 구현하는 데 필요한 필수 네트워크 컨피그레이션에 대해 간략하게 설명합니다.
기고자: Cisco TAC 엔지니어
보안 악성코드 분석 클라우드
미국 클라우드
액세스 URL: https://panacea.threatgrid.com)
| 호스트 이름 |
IP |
포트 |
세부사항 |
| panacea.threatgrid.com |
63.97.201.67, 63.162.55.67 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.chi.threatgrid.com |
200.194.241.35 |
443 |
샘플 상호작용 창 |
| glovebox.rcn.threatgrid.com |
63.97.201.67 |
443 |
샘플 상호작용 창 |
| glovebox.scl.threatgrid.com |
63.162.55.67 |
443 |
샘플 상호작용 창 |
| fmc.api.threatgrid.com |
63.97.201.67, 63.162.55.67 |
443 |
FMC/FTD 파일 분석 서비스 |
EU(유럽) 클라우드
액세스 URL: https://panacea.threatgrid.eu
| 호스트 이름 |
IP |
포트 |
세부사항 |
| panacea.threatgrid.eu |
62.67.214.195, 200.194.242.35 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.muc.threatgrid.eu |
62.67.214.195 |
443 |
샘플 상호작용 창 |
| glovebox.fam.threatgrid.eu
|
200.194.242.35 |
443 |
샘플 상호작용 창
|
| fmc.api.threatgrid.eu |
62.67.214.195, 200.194.242.35 |
443 |
FMC/FTD 파일 분석 서비스 |
기존 IP 89.167.128.132가 폐기되었습니다. 위의 IP로 방화벽 규칙을 업데이트하십시오.
CA(캐나다) 클라우드
액세스 URL:https://panacea.threatgrid.ca
| 호스트 이름 |
IP |
포트 |
세부사항 |
| panacea.threatgrid.ca |
200.194.240.35 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.kam.threatgrid.ca |
200.194.240.35 |
443 |
샘플 상호작용 창 |
| fmc.api.threatgrid.ca |
200.194.240.35 |
443 |
FMC/FTD 파일 분석 서비스 |
AU(호주) 클라우드
액세스 URL:https://panacea.threatgrid.au
| 호스트 이름 |
IP |
포트 |
세부사항 |
| panacea.threatgrid.com.au |
124.19.22.171 |
443 |
보안 악성코드 분석 포털 및 통합 디바이스(ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.syd.threatgrid.com.au |
124.19.22.171 |
443 |
샘플 상호작용 창 |
| fmc.api.threatgrid.com.au |
124.19.22.171 |
443 |
FMC/FTD 파일 분석 서비스 |
Secure Malware Analytics Appliance
다음은 Secure Malware Analytics Appliance의 인터페이스당 권장되는 방화벽 규칙입니다.
더티 인터페이스
샘플이 DNS를 확인하고 C&C(Command and Control) 서버와 통신할 수 있도록 VM에서 인터넷과 통신하는 데 사용됩니다.
허용:
|
방향
|
프로토콜
|
포트
|
대상
|
호스트 이름
|
세부사항
|
|
아웃바운드
|
IP
|
모두
|
모두
|
|
여기서 Deny 섹션에 지정된 위치를 제외하고는 권장됩니다.
분석을 위한 연결을 허용하는 데 사용됩니다.
|
|
아웃바운드
|
TCP
|
22
|
63.97.201.98 2 63.162.55.98 2
|
support-snapshots.threatgrid.com
|
자동 지원 진단 업로드에 사용됩니다.
참고: 소프트웨어 버전 1.2 이상이 필요합니다.
|
|
아웃바운드
|
TCP
|
22
|
54.173.181.217 1 , 54.173.182.46 1
63.162.55.97 2 63.97.201.97 2
|
appliance-updates.threatgrid.com
|
어플라이언스 업데이트
|
|
아웃바운드
|
TCP
|
19791
|
54.164.165.137 1, 34.199.44.202 1
63.97.201.96 2, 63.162.55.96 2
|
rash.threatgrid.com
|
원격 지원/어플라이언스 지원 모드
|
|
아웃바운드
|
TCP
|
22
|
63.97.201.99
63.162.55.99 |
appliance-licensing.threatgrid.com
|
라이센스 관리
|
1 조만간 이러한 IP를 사용할 수 없게 됩니다.
2. 1의 IP를 대체할 IP입니다. 가까운 시일 내에 IP 변경에 대한 통신이 이루어질 때까지 두 IP를 모두 추가하는 것이 좋습니다.
원격 네트워크 종료
어플라이언스에서 이전에 tg-tunnel로 알려진 원격 출구에 VM 트래픽을 터널링하는 데 사용됩니다.
| 방향 |
프로토콜 |
포트 |
대상 |
| 아웃바운드 |
TCP |
21413 |
163.182.175.193 |
| 아웃바운드 |
TCP |
21417 |
69.55.5.250 |
| 아웃바운드 |
TCP |
21415 |
69.55.5.250 |
| 아웃바운드 |
TCP |
21413 |
76.8.60.91 |
참고: 원격 출구 4.14.36.142가 제거되어 더 이상 운영 중이 아닙니다. 언급된 모든 IP를 방화벽 예외 목록에 추가해야 합니다.
거부:
|
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
|
아웃바운드
|
SMTP
|
모두 |
모두
|
악성코드가 스팸을 전송하지 않도록 합니다.
|
|
인바운드
|
IP
|
모두
|
Secure Malware Analytics Appliance 더티 인터페이스
|
위의 Allow 섹션에 지정된 경우를 제외하고는 권장됩니다.
분석을 위해 통신을 허용하는 데 사용됩니다.
|
깨끗한 인터페이스
분석가를 위한 UI 액세스와 샘플을 제출하기 위해 연결된 다양한 서비스에서 사용됩니다.
허용:
|
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
|
인바운드
|
TCP
|
443 및 8443
|
Secure Malware Analytics Appliance 안전한 인터페이스
|
WebUI 및 API 액세스
|
|
인바운드
|
TCP
|
9443
|
Secure Malware Analytics Appliance 안전한 인터페이스
|
글로브박스에 사용
|
|
인바운드
|
TCP
|
22
|
Secure Malware Analytics Appliance 안전한 인터페이스 |
|
|
아웃바운드
|
TCP
|
19791
|
호스트: rash.threatgrid.com
54.164.165.137 1,34.199.44.202 1
63.97.201.96 2,63.162.55.96 2
|
Secure Malware Analytics 지원을 위한 복구 모드
|
1 조만간 이러한 IP를 사용할 수 없게 됩니다.
2. 1의 IP를 대체할 IP입니다. 가까운 시일 내에 IP 변경에 대한 통신이 이루어질 때까지 두 IP를 모두 추가하는 것이 좋습니다.
허용:
|
방향
|
프로토콜
|
포트
|
대상
|
세부사항
|
|
인바운드
|
TCP
|
443 및 8443
|
Secure Malware Analytics Appliance 관리 인터페이스
|
하드웨어 및 라이센스에 대한 설정을 구성하는 데 사용됩니다. |
|
인보우드
|
TCP
|
22
|
Secure Malware Analytics Appliance 관리 인터페이스
|
SSH를 통한 관리자 TUI 액세스 |
피드백