Este documento describe los modos para minimizar el impacto del gusano NIMDA en su red. Este documento abarca dos temas:
La red está infectada, ¿qué se puede hacer? ¿Cómo puede minimizar el daño y la lluvia radiactiva?
La red aún no está infectada o solo está parcialmente infectada. ¿Qué se puede hacer para minimizar la propagación de este gusano?
No hay requisitos específicos para este documento.
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Para obtener información sobre el gusano Nimda, consulte estos enlaces:
La solución de reconocimiento de aplicaciones basadas en la red (NBAR) descrita en este documento requiere la función de marcado basado en clases en el software Cisco IOS®. Específicamente, la capacidad para coincidir en cualquier parte de una URL HTTP utiliza la característica de clasificación de subpuerto HTTP en NBAR. A continuación, se resumen las plataformas admitidas y los requisitos mínimos de software de Cisco IOS:
Platform | Versión mínima del Software del IOS de Cisco |
---|---|
7200 | 12.1(5)T |
7100 | 12.1(5)T |
3660 | 12.1(5)T |
3640 | 12.1(5)T |
3620 | 12.1(5)T |
2600 | 12.1(5)T |
1700 | 12.2(5)T |
Nota: Debe habilitar Cisco Express Forwarding (CEF) para utilizar el reconocimiento de aplicaciones basadas en red (NBAR).
NBAR también es compatible con algunas plataformas de software del IOS de Cisco a partir de la versión 12.1E. Consulte “Protocolos admitidos” en la documentación de Network-Based Application Recognition.
El marcado basado en clases y NBAR distribuido (DNBAR) también están disponibles en las siguientes plataformas:
Platform | Versión mínima del Software del IOS de Cisco |
---|---|
7500 | 12.1(6)E |
FlexWAN | 12.1(6)E |
Si va a implementar NBAR, tenga en cuenta el ID de error de Cisco CSCdv06207 (sólo para clientes registrados). El método alternativo que se describe en CSCdv06207 puede ser necesario si aparece este defecto.
La solución Access Control List (ACL) es compatible con todas las versiones actuales del software Cisco IOS.
Para soluciones en las que necesita utilizar la interfaz de línea de comandos (CLI) de calidad de servicio modular (QoS) (como para tráfico ARP de límite de velocidad o para implementar límite de velocidad con regulador en lugar de CAR), necesita la Interfaz de línea de comandos de calidad de servicio modular, disponible en las versiones 12.0XE, 12.1E, 12.1T y todas las versiones de 12.2 del software Cisco IOS.
Para el uso de Velocidad de acceso comprometida (CAR), necesita la versión 11.1CC del software del IOS de Cisco y todas las versiones del software 12.0 y posteriores.
Esta sección describe los vectores de infección que pueden propagar el virus Nimda y proporciona consejos para reducir la propagación del virus:
El gusano puede propagarse a través de archivos adjuntos de correo electrónico del tipo MIME audio/x-wav.
Consejos:
Agregue reglas en el servidor de Protocolo simple de transferencia de correo (SMTP) para bloquear cualquier correo electrónico que tenga estos archivos adjuntos:
readme.exe
Admin.dll
El gusano se puede propagar cuando se navega por un servidor web infectado con la ejecución de Javascript habilitada y utilizando una versión de Internet Explorer (IE) que es vulnerable a las vulnerabilidades descritas en MS01-020 (por ejemplo, IE 5.0 o IE 5.01 sin SP2).
Consejos:
Utilice Netscape como su navegador, o inhabilite Javascript en IE, o consiga IE parcheado a SP II.
Utilice Reconocimiento de aplicación con base en la red de Cisco (NBAR) para evitar que se descarguen archivos leame.eml A continuación se muestra un ejemplo para configurar NBAR:
Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*readme.eml*"
Una vez que haya coincidido el tráfico, podrá optar por descartar o rutear basado en la política el tráfico para supervisar los hosts infectados. En Uso de las Listas de Control de Acceso y Reconocimiento de Aplicaciones Basadas en la Red para Bloquear el Gusano "Código Rojo" se encuentran ejemplos de la implementación completa.
El gusano puede propagarse de máquina a máquina en forma de ataques de IIS (principalmente intenta explotar vulnerabilidades creadas por los efectos de Code Red II, pero también vulnerabilidades previamente parcheadas por MS00-078 ).
Consejos:
Use los esquemas del Código Rojo descritos en:
Qué hacer con mallocfail y la alta utilización de la CPU que surgen del gusano “Código rojo”
Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*.ida*" Router(config-cmap)#match protocol http url "*cmd.exe*" Router(config-cmap)#match protocol http url "*root.exe*" Router(config-cmap)#match protocol http url "*readme.eml*"
Una vez que haya coincidido el tráfico, podrá optar por descartar o rutear basado en la política el tráfico para supervisar los hosts infectados. En Uso de las Listas de Control de Acceso y Reconocimiento de Aplicaciones Basadas en la Red para Bloquear el Gusano "Código Rojo" se encuentran ejemplos de la implementación completa.
Limite la velocidad de los paquetes SYN (sincronizar/iniciar) TCP. Esto no protege a un host, pero permite que su red se ejecute de una manera degradada y siga funcionando. Al limitar la velocidad de los SYNs, está descartando paquetes que exceden una cierta velocidad, por lo que algunas conexiones TCP pasarán, pero no todas. Para ver ejemplos de configuración, consulte la sección "Limitación de Velocidad para Paquetes TCP SYN" de Uso de CAR Durante Ataques DOS.
Considere la posibilidad de limitar la velocidad del tráfico del protocolo de resolución de direcciones (ARP) si la cantidad de análisis ARP está causando problemas en la red. Para limitar la velocidad del tráfico de ARP, configure lo siguiente:
class-map match-any arp match protocol arp ! ! policy-map ratelimitarp class arp police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
Entonces, esta política debe aplicarse a la interfaz LAN pertinente como una política de resultados. Modifique las cifras según corresponda para tener en cuenta el número de ARP por segundo que desea permitir en la red.
El gusano se puede propagar resaltando un .eml o .nws en el Explorador con Active Desktop habilitado (de forma predeterminada, W2K/ME/W98). Esto hace que THUMBVW.DLL ejecute el archivo e intente descargar el README.EML al cual aquél hace referencia (según la versión de IE y configuraciones de zona).
Sugerencia: como se recomienda anteriormente, utilice NBAR para filtrar readme.eml de la descarga.
El gusano puede propagarse por la unidad asignada. Cualquier máquina infectada que tenga unidades de red asignadas probablemente infectará todos los archivos de la unidad asignada y sus subdirectorios
Consejos:
Bloquee el protocolo de transferencia de archivos trivial (TFTP) (puerto 69) para que las máquinas infectadas no puedan utilizar TFTP para transferir archivos a hosts no infectados. Asegúrese de que el acceso TFTP para los routers aún esté disponible (ya que puede necesitar la trayectoria para actualizar el código). Si el router ejecuta la versión 12.0 o posterior del software del IOS de Cisco, siempre tiene la opción de utilizar el Protocolo de transferencia de archivos (FTP) para transferir imágenes a los routers que ejecutan el software del IOS de Cisco.
Bloquear NetBIOS. NetBIOS no debería tener que abandonar una red de área local (LAN). Los proveedores del servicio deberían filtrar NetBIOS mediante los puertos de bloqueo 137, 138, 139 y 445.
El gusano usa su propio motor SMTP para enviar correos electrónicos fuera e infecta otros sistemas.
Sugerencia: Bloquee el puerto 25 (SMTP) en las partes internas de la red. Los usuarios que están recuperando su correo electrónico mediante el Protocolo de oficina de correos (POP) 3 (puerto 110) o el Protocolo de acceso a correo de Internet (IMAP) (puerto 143) no necesitan tener acceso al puerto 25. Sólo permita que el puerto 25 esté abierto frente al servidor SMTP de la red. Esto puede no ser factible para los usuarios que utilizan Eudora, Netscape y Outlook Express, entre otros, ya que tienen su propio motor SMTP y generarán conexiones salientes mediante el puerto 25. Es posible que deba realizarse alguna investigación sobre los posibles usos de servidores proxy o algún otro mecanismo.
Limpiar Cisco CallManager/Servidores de aplicaciones
Consejo: Los usuarios con Call Managers y servidores de aplicaciones Call Manager en sus redes deben hacer lo siguiente para detener la propagación del virus. No deben navegar hasta el equipo infectado desde el Call Manager y tampoco deben compartir ninguna unidad en el servidor de Call Manager. Siga las instrucciones proporcionadas en Limpieza del Virus Nimda de Cisco CallManager 3.x y CallManager Applications Servers para limpiar el virus Nimda.
Filtrar el virus Nimda en el CSS 11000
Consejo: Los usuarios con CSS 11000 deben seguir las instrucciones proporcionadas en Filtrar el virus Nimda en CSS 1000 para limpiar el virus NIMDA.
Respuesta de Cisco Secure Intrusion Detection System (CS IDS) al virus Nimda
Sugerencia: CS IDS tiene dos componentes diferentes disponibles. Uno es el IDS basado en host (HIDS) que tiene un sensor de host y el IDS basado en red (NIDS) que tiene un sensor de red, los cuales responden de una manera diferente al virus Nimda. Para obtener una explicación más detallada y el curso de acción recomendado, consulte Cómo responde Cisco Secure IDS al virus Nimda.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
24-Sep-2001
|
Versión inicial |