Block Port 445 Exploit in Cisco Router

February 23, 2009 at 6:38 am | Posted in Work | 1 Comment
Tags: , , ,

Salah satu customer di kantor kami mengeluh karena koneksi internetnya kadang terasa lambat. Sambil menambahkan bahwa situasi ini terjadi pada saat tertentu saja, misalnya pada pagi hari. Begitu sore hari, koneksi berjalan normal kembali.

Kecurigaan pertama kami pikir bahwa pada saat itu ada user lain yang sedang mendownload dari internet dalam jumlah besar sehingga menghabiskan seluruh resource bandwidth yang mereka sewa. Ternyata setelah di cek oleh customer, tidak ada user lain yang sedang mendownload. Tapi mereka mengeluh internet tetap lambat.

Kemudian, setelah di cek melalui program monitoring di pihak kami, diketahui bahwa kemungkinan besar salah satu atau beberapa pc di sisi customer telah terinfeksi virus. Memang tidak terlihat ada aktivitas mendownload yang menyebabkan traffic internet tinggi, tetapi yang mencurigakan adalah banyaknya koneksi yang dilakukan dari sisi customer ke internet. Jumlah koneksi tersebut mencapai ribuan, dan terpusat hanya pada satu port saja, yaitu port 445. Memang total bandwidth yang dipakai oleh ribuan koneksi tersebut hanya dalam hitungan 2000-3000 bps saja, tapi kalau jumlahnya sudah sampai ribuan tetap saja mengganggu.

Karena ingin menyelesaikan masalah dengan cepat, maka diambil solusi untuk memblok traffic di port 445 melalui router. Langkah yang dilakukan adalah menambah konfigurasi sebagai berikut.

Buat dulu access list untuk memblok virusnya:

ip access-list extended Blok_Virus
deny   tcp any any eq 445 log
deny   tcp any any eq 135 log
deny   tcp any any eq 139 log
permit ip any any

Kemudian tinggal memasukkan access list tersebut di interface yang terhubung langsung dengan customer:

ip access-group Blok_Virus in
ip access-group Blok_Virus out

Dan akhirnya masalah tersebut terselesaikan. Customer tidak mengeluh lagi koneksi internetnya lambat.

Technorati Tags: , , ,

Advertisements

Create a free website or blog at WordPress.com.
Entries and comments feeds.