Cisco IOS と NX-OS ソフトウェア : Cisco IOS ?????? ???? 12.2 ??????

Nimda ウイルスからネットワークを保護する方法

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2004 年 9 月 14 日) | 英語版 (2015 年 12 月 31 日) | フィードバック


目次


概要

この文書では、ネットワークに対する Nimda ワームの影響を最小にする方法を説明し、 次の 2 つのトピックを扱います。

  • ネットワークが感染している。何を実行できるか。 被害と影響を最小限に抑える方法。

  • ネットワークはまだ感染していないか、または一部のみ感染している。 このワームの拡散を最小にするために何ができるか

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

Nimda ワームの背景情報については、次のリンクを参照してください。

サポート対象プラットフォーム

この資料に説明がある Network-Based Application Recognition (NBAR) ソリューションは Cisco IOS 内のクラスベース マーキング機能を必要としますか。 ソフトウェア。 特に、マッチング機能では、NBAR 内の HTTP サブポートクラシフィケーション機能を使用します。 サポートされているプラットフォームおよび IOS ソフトウェア最低必要条件を次に要約します。

プラットフォーム Cisco IOS ソフトウェアの最低バージョン
7200 12.1(5)T
7100 12.1(5)T
3660 12.1(5)T
3640 12.1(5)T
3620 12.1(5)T
2600 12.1(5)T
1700 12.2(5)T

NBAR を使用するには、Cisco Express Forwarding(CEF; Cisco エクスプレス転送)を有効にする必要があります。

NBAR はリリース 12.1E 以降の一部の Cisco IOS ソフトウェアのプラットフォームでもサポートされています。 Network-Based Application Recognition のドキュメントの「サポート対象プロトコル」を参照してください。

クラスベース マーキングおよび Distributed NBAR(DNBAR)は次のプラットフォームでも使用できます。

プラットフォーム Cisco IOS ソフトウェアの最低バージョン
7500 12.1(6)E
FlexWAN 12.1(6)E

NBAR を導入する場合は、Cisco Bug ID CSCdv06207登録ユーザ専用)に注意してください。 CSCdv06207 に記述されている回避策は、この障害に遭遇した場合に必要になる場合があります。

Cisco IOS ソフトウェアのすべての現行リリースで、Access Control List(ACL; アクセス コントロール リスト)ソリューションがサポートされています。

モジュラー Quality of Service(QoS)コマンドライン インターフェイス(CLI)を使用する必要があるソリューションの場合は(レート制限 ARP トラフィックの場合または CAR の代わりにポリサーでレート制限を実現する場合など)、Cisco IOS ソフトウェア リリース 12.0XE、12.1E、12.1T、および 12.2 のすべてのリリースで使用できるモジュラー Quality of Service コマンド行インターフェイスが必要です。

専用アクセス レート(CAR)の使用には、Cisco IOS ソフトウェア リリース 11.1CC および 12.0 以降のソフトウェアのすべてのリリースが必要です。

被害を最小限に抑え、影響を制限する方法

このセクションでは、Nimda ウィルスを広める可能性がある感染媒体について概説し、ウィルスの拡散を減らすヒントを示します。

  • このワームは、MIME audio/x-wav タイプの E メール添付ファイルによって広がる可能性があります。

    ヒント:

    • 次の添付ファイルがある電子メールをブロックするルールを Simple Mail Transfer Protocol(SMTP)サーバに追加します。

      • readme.exe

      • Admin.dll

  • このワームが拡散する可能性があるのは、JavaScript の実行を有効にし、MS01-020 で説明しているように悪用に脆弱な Internet Explorer(IE)のバージョンを使用して、感染した Web サーバにアクセスする場合です leavingcisco.com (たとえば、IE 5.0 または SP2 が適用されていない IE 5.01 など)。

    ヒント:

    • ブラウザとして Netscape を使用するか、IE で Javascript を無効にするか、または IE に SP2 パッチを適用します。

    • シスコ NBAR を使って、readme.eml ファイルがダウンロードされるのを防ぎます。 NBAR を設定する例を次に示します。

      Router(config)#class-map match-any http-hacks 
      Router(config-cmap)#match protocol http url "*readme.eml*" 

      トラフィックのマッチングを行った後、トラフィックを破棄するか、ポリシーベースのルーティングで感染したホストを監視できます。 完全な実装例は、『"Code Red" ワームをブロックするための Network-Based Application Recognition およびアクセス コントロール リストの使用方法』にあります。

  • このワームは IIS 攻撃の形式でマシンからマシンに広がる可能性があります(主に Code Red II の影響によって生じた脆弱性を悪用することを試みますが、以前に MS00-078 で修正された脆弱性も悪用します leavingcisco.com )。

    ヒント:

    • 次の文書に記述された Code Red 対策方式を使用します。

      "Code Red " に起因する mallocfail と 高 CPU 利用率への対処法

      "Code Red" ワームをブロックするための Network-Based Application Recognition およびアクセス コントロール リストの使用方法

      Router(config)#class-map match-any http-hacks 
      Router(config-cmap)#match protocol http url "*.ida*" 
      Router(config-cmap)#match protocol http url "*cmd.exe*" 
      Router(config-cmap)#match protocol http url "*root.exe*" 
      Router(config-cmap)#match protocol http url "*readme.eml*" 

      トラフィックのマッチングを行った後、トラフィックを破棄するか、ポリシーベースのルーティングで感染したホストを監視できます。 完全な実装例は、『"Code Red" ワームをブロックするための Network-Based Application Recognition およびアクセス コントロール リストの使用方法』にあります。

    • TCP synchronize/start(SYN)パケットをレート制限します。 これによってホストは保護されませんが、パフォーマンスを下げてネットワークを実行し続けることができます。 レート制限 SYN では、一定のレートを超過するパケットを破棄するため、一部の TCP 接続は通過しますが、すべてではありません。 設定例については、『DOS 攻撃時の CAR の使用』の「レートリミット TCP Syn パケット」の項を参照してください。

    • ARP スキャンの量が原因でネットワーク上で問題を起こる場合、レート制限 Address Resolution Protocol(ARP)のトラフィックを考慮します。 ARP トラフィックのレート制限を行うには、次のように設定します。

      class-map match-any arp 
         match protocol arp 
      ! 
      ! 
      policy-map ratelimitarp
         class arp 
            police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
      

      この後、このポリシーを該当 LAN インターフェイスに出力ポリシーとして適用する必要があります。 ネットワークで許可する 1 秒あたりの ARP の数を考慮して適切な数に変更します。

  • ワームは、Active Desktop を有効にした状態で(W2K/ME/W98 デフォルト)Explorer 内で eml または .nws をハイライトさせることによって広がる可能性があります。 これにより、THUMBVW.DLL がファイルを実行し、その中で参照されている README.EML をダウンロードしようとします(IE バージョンおよびゾーン設定によります)。

    ヒント: 上記の推奨に従い、NBAR を使用して、readme.eml がダウンロードされないようにフィルタ処理します。

  • ワームはマップされたドライブによって広がる可能性があります。 マップ済みのネットワーク ドライブを持つ感染したマシンはすべて、マップされたドライブとサブディレクトリ上のファイルをすべて感染させる可能性があります。

    ヒント:

    • 感染したコンピュータが TFTP を使用して感染していないホストにファイルを転送できないように、Trivial File Transfer Protocol(TFTP)(ポート 69)をブロックします。 ルータの TFTP アクセスは引き続き使用可能にします(コードをアップグレードするための経路が必要になる場合があるため)。 ルータが Cisco IOS ソフトウェア バージョン 12.0 以降を実行している場合、Cisco IOS ソフトウェアを実行しているルータにイメージを転送するために、File Transfer Protocol(FTP)を使用する選択肢が常にあります。

    • NetBIOS をブロックします。 NetBIOS はローカル エリア ネットワーク(LAN)に残す必要はありません。 サービス プロバイダは、ポート 137、138、139、および 445 をブロックすることで、NetBIOS をフィルタに掛ける必要があります。

  • ワームは、独自の SMTP エンジンを使って、他のシステムを感染させるために E メールを送ります。

    ヒント: ネットワークの内部のポート 25(SMTP)をブロックします。 Post Office Protocol(POP)3(ポート 110)または Internet Mail Access Protocol(IMAP)(ポート 143)を使用して電子メールを取得しているユーザは、ポート 25 にアクセスする必要はありません。 ネットワークの SMTP サーバに対してだけ、ポート 25 をオープンにしておきます。 Eudora、Netscape、および Outlook Express を使用しているユーザでは、独自の SMTP エンジンが用意され、ポート 25 を使用した発信接続が生成されるため、これを実行できない場合があります。 プロキシ サーバやその他のメカニズムの使用については、さらに検討が必要な場合があります。

  • Cisco CallManager/Applications サーバをクリーニングします。

    ヒント: ネットワーク内に Call Manager および Call Manager アプリケーション サーバを持つユーザは、ウィルスの拡散を止めるために、次の処理を行う必要があります。 感染しているマシンを Call Manager からブラウズすること、および、Call Manager サーバ上のいずれかのドライブを共有することは厳禁です。 Nimda ウイルスを除去するには、『Cisco CallManager 3.x および CallManager Applications サーバからの Nimda ウィルスの除去』に示されている指示に従います。

  • CSS 11000 で Nimda ウィルスをフィルタ処理します。

    ヒント: CSS 11000 のユーザは、NIMDA ウイルスを除去するために、『CSS 11000 での NIMDA ウイルスのフィルタリング』に示されている指示に従う必要があります。

  • Nimda ウイルスに対する Cisco Secure Intrusion Detection System(CS IDS)の対応

    ヒント: CS IDS には使用可能な 2 種類のコンポーネントがあります。 1 つはホスト センサーを備えたホストベースの IDS(HIDS)で、もう 1 つはネットワーク センサーを備えたネットワークベースの IDS(NIDS)です。どちらも Nimda ウィルスに対して異なる方法で対応します。 詳細な説明と推奨される対処法については、『Cisco Secure IDS の Nimda ウィルスへの対応』を参照してください。


関連情報


Document ID: 4615