Cisco IOS と NX-OS ソフトウェア : Cisco IOS ?????? ???? 12.2 ??????

Nimda ウィルスからネットワークを守る方法

2004 年 9 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 9 月 13 日) | 英語版 (2008 年 3 月 6 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
      背景説明
サポートするプラットフォーム
ダメージを最小にしフォールアウトを制限する方法
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書では、ネットワークに対する Nimda ワームの影響を最小にする方法を説明し、 次の 2 つのトピックを扱います。

  • ネットワークが感染した場合、何ができるのか、 どのようにダメージおよびフォールアウトを最小にできるか

  • ネットワークがまだ感染していないか、または部分的に感染している場合。 このワームの拡散を最小にするために何ができるか

前提条件

要件

この文書に関する特別な要件はありません。

使用するコンポーネント

この文書は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

この文書で紹介する情報は、特定のラボ環境にあるデバイスを使用して作成されました。 この文書で使用するすべてのデバイスは、クリアな状態(デフォルト)から設定作業を始めています。 実稼動中のネットワークで作業する場合は、コマンドの実行によって生じる影響について、事前に理解しておいてください。

表記法

文書表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

Nimda ワームに関する情報は、次を参照してください。

サポートするプラットフォーム

この文書に記載されている Network-based application recognition(NBAR)ソリューションには、Cisco IOS(R) ソフトウェアの「クラスベース マーキング機能」が必要です。 特に、マッチング機能では、NBAR 内の HTTP サブポートクラシフィケーション機能を使用します。 サポートされているプラットフォームおよび IOS ソフトウェア最低必要条件を次に要約します。

プラットフォーム

Cisco IOS ソフトウェア バージョンの最小要件

7200

12.1(5)T

7100

12.1(5)T

3660

12.1(5)T

3640

12.1(5)T

3620

12.1(5)T

2600

12.1(5)T

1700

12.2(5)T

    

注:NBAR を使用するには、Cisco Express Forwarding(CEF; Cisco エクスプレス転送)を有効にする必要があります。 

NBAR は、リリース 12.1E から始まるいくつかの Cisco IOS ソフトウェア プラットフォームでもサポートされています。 「NBAR についての文書」 の「サポート対象プロトコル」を参照してください。

次のプラットフォームでは、クラスベース マーキング機能および Distributed NBAR(DNBAR)も利用可能です。

プラットフォーム

Cisco IOS ソフトウェア バージョンの最小要件

7500

12.1(6)E

FlexWAN

12.1(6)E

    

NBAR を展開する場合には、Bug ID CSCdv06207登録ユーザのみ)をご承知ください。 CSCdv06207 に記述されている回避策は、この障害に遭遇した場合に必要になる場合があります。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

Cisco IOS ソフトウェアのすべての現行リリースで、Access Control List(ACL; アクセス コントロール リスト)ソリューションがサポートされています。

モジュラ Quality of Service(QoS)Command Line Interface(CLI; コマンドライン インターフェイス)の使用が必要なソリューションの場合(レート制限 ARP トラフィックの場合や、CAR の代わりにポリサーを使ってレート制限を実装する場合など)、Cisco IOS ソフトウェア リリース 12.0XE、12.1E、12.1T、および 12.2 の全リリースで利用可能な「モジュラ QoS CLI 」が必要です。

Committed Access Rate(CAR)を使用する場合、Cisco IOS ソフトウェア リリース 11.1CC および 12.0 以降の全ソフトウェア リリースが必要です。

ダメージを最小にしフォールアウトを制限する方法

この項では、Nimda ウィルスを広める可能性がある感染媒体について概説し、ウィルスの拡散を減らすヒントを示します。

  • このワームは、MIME audio/x-wav タイプの E メール添付ファイルによって広がる可能性があります。

    ヒント:

    • Simple Mail Transfer Protocol(SMTP)サーバにルールを追加し、次の添付ファイルが付いた E メールをブロックします。

      • readme.exe

      • Admin.dll

  • ワームは、『MS01-020leavingcisco.comに記載された不正利用に対して脆弱なバージョンの Internet Explorer(IE)(たとえば SP2 が適用されていない IE 5.0 や IE 5.01)を使用していて、さらに Javascript の実行を有効にした状態で、感染した Web サーバを閲覧すると広がる可能性があります。

    ヒント:

    • ブラウザとして Netscape を使用するか、IE で Javascript を無効にするか、または IE に SP2 パッチを適用します。

    • シスコ NBAR を使って、readme.eml ファイルがダウンロードされるのを防ぎます。 次は、NBAR 設定の一例です。

      Router(config)#class-map match-any http-hacks 
       Router(config-cmap)#match protocol http url "*readme.eml*" 

      トラフィックのマッチングを行った後、トラフィックを破棄するか、ポリシーベースのルーティングで感染したホストを監視できます。 完全な実装例は、『ネットワークの入口で「Code Red」ワームをブロックするための NBAR および ACL の使用方法』に記載されています。

  • ワームは、IIS 不正侵入の形でマシンからマシンへ広がる可能性があります(主に Code Red II の影響により生じた脆弱性だけでなく、MS00-078 leavingcisco.comによってパッチ修正された脆弱性も狙われます)。

    ヒント:

    • 次の文書に記述された Code Red 対策方式を使用します。

      『「Code Red」ワームに起因する mallocfail および CPU 使用率が高い場合の対処方法』

      『ネットワークの入口で「Code Red」ワームをブロックするための NBAR および ACL の使用方法』

      Router(config)#class-map match-any http-hacks
       Router(config-cmap)#match protocol http url "*.ida*"
       Router(config-cmap)#match protocol http url "*cmd.exe*"
       Router(config-cmap)#match protocol http url "*root.exe*"
       Router(config-cmap)#match protocol http url "*readme.eml*" 

      トラフィックのマッチングを行った後、トラフィックを破棄するか、ポリシーベースのルーティングで感染したホストを監視できます。 完全な実装例は、『ネットワークの入口で「Code Red」ワームをブロックするための NBAR および ACL の使用方法』に記載されています。

    • TCP synchronize/start(SYN)パケットをレート制限します。 これによってホストは保護されませんが、パフォーマンスを下げてネットワークを実行し続けることができます。 SYN をレート制限することによって特定のレートを超えるパケットを捨てることになり、いくつかの TCP 接続は通りますが、すべてではありません。 設定例については、『TCP Syn パケットのレート制限』を参照してください。

    • Address Resolution Protocol(ARP)スキャンの量がネットワーク内の問題を引き起こしている場合には、ARP トラフィックのレート制限を考慮します。 ARP トラフィックのレート制限を行うには、次のように設定します。

       class-map match-any arp
          match protocol arp
       !
       !
       policy-map ratelimitarp
          class arp
             police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
       

      この後、このポリシーを該当 LAN インターフェイスに出力ポリシーとして適用する必要があります。 必要な場合、ネットワークに対して許可する ARP 数/秒に応じてこの数字を修正します。

  • ワームは、Active Desktop を有効にした状態で(W2K/ME/W98 デフォルト)Explorer 内で eml または .nws をハイライトさせることによって広がる可能性があります。 これにより、THUMBVW.DLL がファイルを実行し、その中で参照されている README.EML をダウンロードしようとします(IE バージョンおよびゾーン設定によります)。

    ヒント:上記で推奨されているように、NBAR を使用して、readme.eml がダウンロードされるのを防ぎます。

  • ワームはマップされたドライブによって広がる可能性があります。 ネットワーク ドライブをマップしている感染したマシンは、マップされたドライブおよびそのサブディレクトリ上の全ファイルを感染させるおそれがあります。

    ヒント:

    • 感染したマシンが TFTP を使って感染していないホストにファイルを転送しないように、Trivial File Transfer Protocol(TFTP)(ポート 69)をブロックします。 ルータ用の TFTP アクセスは可能であることを確認します(なぜならば、アップグレード コードへのパスが必要になる場合があるからです)。 ルータが Cisco IOS ソフトウェア バージョン 12.0 以上を実行している場合には、File Transfer Protocol(FTP; ファイル転送プロトコル)を使って Cisco IOS ソフトウェアを実行中のルータにイメージを転送するオプションがあります。

    • NetBIOS をブロックします。 NetBIOS はローカルエリア ネットワーク(LAN)で使用不可にできません。 サービス プロバイダは、ポート 137、138、139、および 445 をブロックすることで、NetBIOS をフィルタに掛ける必要があります。

  • ワームは、独自の SMTP エンジンを使って、他のシステムを感染させるために E メールを送ります。

    ヒント:ネットワーク内でポート 25(SMTP)をブロックします。 Post Office Protocol(POP)3(ポート 110)または Internet Mail Access Protocol(IMAP)(ポート 143)を使用して電子メールを取得しているユーザは、ポート 25 にアクセスする必要はありません。 ネットワークの SMTP サーバに対してだけ、ポート 25 をオープンにしておきます。 Eudora、Netscape、および Outlook Express を使用しているユーザでは、独自の SMTP エンジンが用意され、ポート 25 を使用した発信接続が生成されるため、これを実行できない場合があります。 プロキシ サーバやその他のメカニズムの使用については、さらに検討が必要な場合があります。

  • Cisco CallManager/アプリケーション サーバに対してワームの除去を実行します。

    ヒント:ネットワークに Call Manager および Call Manager アプリケーション サーバを使用しているユーザでは、ウィルスの蔓延を阻止するために次の注意点を守る必要があります。 感染しているマシンを Call Manager からブラウズすること、および、Call Manager サーバ上のいずれかのドライブを共有することは厳禁です。 ウィルスの除去については、『Cisco CallManager 3.x サーバおよび CallManager Applications サーバからの Nimda ウィルスの除去』に記載された手順に従います。

  • CSS 11000 上で NIMDA ウィルスをフィルタします。

    ヒント:CSS 11000 を使用しているユーザは、NIMDA のウィルス除去を行うために、『CSS11000 上で NIMDA ウィルスをフィルタする方法』に記載された手順に従う必要があります。.

  • Cisco Secure Intrusion Detection System(CS IDS; Cisco Secure 侵入検知システム)を使用して Nimda ウィルスに対応します。

    ヒント:CS IDS では、2 つの異なるコンポーネントが利用できます。 1 つはホスト センサーを備えた Host-based IDS(HIDS; ホストベース IDS)で、もう 1 つはネットワーク センサーを備えた Netowrk-based IDS(NIDS; ネットワークベース IDS)です。どちらも Nimda ウィルスに対して異なる方法で対応します。 詳細な説明および一連の推奨処置については、『Cisco Secure IDS の Nimda ウィルスへの対策方法』を参照してください。


    .

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報

    


Document ID: 4615