Cómo proteger su red del virus Nimda

Opciones de descarga

  • PDF     (167.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (85.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (72.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:6 de marzo de 2008
ID del documento:4615

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe los modos para minimizar el impacto del gusano NIMDA en su red. Este documento abarca dos temas:

  • La red está infectada, ¿qué se puede hacer? ¿Cómo puede minimizar el daño y los efectos colaterales?

  • La red todavía no está infectada o sólo está parcialmente infectada. ¿Qué se puede hacer para minimizar la propagación de este gusano?

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Antecedentes

Para obtener información general sobre el gusano Nimda, consulte estos enlaces:

Plataformas Soportadas

La solución de reconocimiento de aplicaciones (NBAR) basada en red descrita en este documento requiere la función de marcado basada en clase dentro del software Cisco IOS®. Específicamente, la capacidad para coincidir en cualquier parte de una URL HTTP utiliza la característica de clasificación de subpuerto HTTP en NBAR. A continuación, se resumen las plataformas admitidas y los requisitos mínimos de software de Cisco IOS:

Platform Versión mínima del Software del IOS de Cisco
7200 12.1(5)T
7100 12.1(5)T
3660 12.1(5)T
3640 12.1(5)T
3620 12.1(5)T
2600 12.1(5)T
1700 12.2(5)T

Nota: Debe activar Cisco Express Forwarding (CEF) para utilizar el Reconocimiento de aplicaciones basadas en red (NBAR).

NBAR también se soporta en algunas plataformas de software del IOS de Cisco comenzando con la versión 12.1E. Consulte “Protocolos admitidos” en la documentación de Network-Based Application Recognition.

La marcación basada en clases y la NBAR distribuida (DNBAR) también están disponibles en las siguientes plataformas:

Platform Versión mínima del Software del IOS de Cisco
7500 12.1(6)E
FlexWAN 12.1(6)E

Si está implementando NBAR, tenga en cuenta el Id. de error de Cisco CSCdv06207 (sólo clientes registrados) . El método alternativo que se describe en CSCdv06207 puede ser necesario si aparece este defecto.

La solución Access Control List (ACL) es compatible con todas las versiones actuales del software Cisco IOS.

Para las soluciones en las que necesita utilizar la interfaz de línea de comandos (CLI) de calidad de servicio modular (QoS) (como para el tráfico ARP de limitación de velocidad o para implementar limitación de velocidad con regulador en lugar de CAR), necesita la interfaz de línea de comandos de calidad de servicio modular disponible en las versiones 12.0XE, 12.1E, 12.1T y todas las versiones 12 2.

Para el uso de la Velocidad de acceso comprometida (CAR), necesita la versión 11.1CC del software del IOS de Cisco y todas las versiones 12.0 y posteriores del software.

Cómo minimizar los daños y limitar las consecuencias

Esta sección describe los vectores de infección que pueden propagar el virus Nimda y proporciona consejos para reducir la propagación del virus:

  • El gusano puede propagarse a través de los adjuntos de correo electrónico del tipo MIME audio/x-wav.

    Consejos:

    • Agregue reglas en su servidor SMTP (protocolo simple de transferencia de correo) para bloquear cualquier correo electrónico que tenga estos adjuntos:

      • readme.exe

      • Admin.dll

  • El gusano puede propagarse cuando navega por un servidor web infectado con la ejecución de Javascript activada y utiliza una versión de Internet Explorer (IE) que es vulnerable a las vulnerabilidades descritas en MS01-020 icon_popup_short.gif (por ejemplo, IE 5.0 o IE 5.01 sin SP2).

    Consejos:

    • Utilice Netscape como su navegador, o desactive Javascript en IE, o consiga que IE se parche a SP II.

    • Utilice Reconocimiento de aplicación con base en la red de Cisco (NBAR) para evitar que se descarguen archivos leame.eml Este es un ejemplo para configurar NBAR: 

      Router(config)#class-map match-any http-hacks 
Router(config-cmap)#match protocol http url "*readme.eml*"

      Una vez que haya coincidido el tráfico, podrá optar por descartar o rutear basado en la política el tráfico para supervisar los hosts infectados. Se encuentran ejemplos de la implementación completa en Uso del Reconocimiento de Aplicaciones Basadas en Red y Listas de Control de Acceso para Bloquear el gusano "Código Rojo".

  • El gusano puede propagarse de una máquina a otra en forma de ataques de IIS (intenta principalmente explotar las vulnerabilidades creadas por los efectos del código rojo II, pero también las vulnerabilidades previamente corregidas por MS00-078 icon_popup_short.gif ).

    Consejos:

    • Use los esquemas del Código Rojo descritos en:

      Qué hacer con mallocfail y la alta utilización de la CPU que surgen del gusano “Código rojo”

      Uso del reconocimiento de aplicaciones basadas en la red y las listas de control de acceso para bloquear el gusano "Código rojo" 

      Router(config)#class-map match-any http-hacks 
Router(config-cmap)#match protocol http url "*.ida*" 
Router(config-cmap)#match protocol http url "*cmd.exe*" 
Router(config-cmap)#match protocol http url "*root.exe*" 
Router(config-cmap)#match protocol http url "*readme.eml*"

      Una vez que haya coincidido el tráfico, podrá optar por descartar o rutear basado en la política el tráfico para supervisar los hosts infectados. Se encuentran ejemplos de la implementación completa en Uso del Reconocimiento de Aplicaciones Basadas en Red y Listas de Control de Acceso para Bloquear el gusano "Código Rojo".

    • Limite la velocidad de los paquetes SYN (sincronizar/iniciar) TCP. Esto no protege un host, pero permite que la red se ejecute de forma degradada y siga activa. Al limitar la velocidad de los SYNs, está arrojando paquetes que exceden una cierta velocidad, por lo que algunas conexiones TCP se saldrán con la suya, pero no todas. Para ver ejemplos de configuración, refiérase a la sección "Limitación de Velocidad para Paquetes SYN TCP" de Uso de CAR durante Ataques DOS.

    • Considere el tráfico de protocolo de resolución de direcciones (ARP) que limita la velocidad si la cantidad de análisis ARP está causando problemas en la red. Para limitar la velocidad del tráfico de ARP, configure lo siguiente: 

      class-map match-any arp 
   match protocol arp 
! 
! 
policy-map ratelimitarp
   class arp 
      police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop

      Entonces, esta política debe aplicarse a la interfaz LAN pertinente como una política de resultados. Modifique las cifras según corresponda para cubrir el número de ARP por segundo que desea permitir en la red.

  • El gusano se puede propagar resaltando un .eml o .nws en el Explorador con Active Desktop habilitado (W2K/ME/W98 de forma predeterminada). Esto hace que THUMBVW.DLL ejecute el archivo e intente descargar el README.EML al cual aquél hace referencia (según la versión de IE y configuraciones de zona).

    Sugerencia: Como se recomienda anteriormente, utilice NBAR para filtrar readme.eml para que no se descargue.

  • El gusano puede propagarse por la unidad asignada. Cualquier máquina infectada que haya asignado unidades de red probablemente infectará todos los archivos de la unidad asignada y sus subdirectorios

    Consejos:

    • Block Trivial File Transfer Protocol (TFTP) (puerto 69) para que las máquinas infectadas no puedan usar TFTP para transferir archivos a hosts no infectados. Asegúrese de que el acceso TFTP para los routers siga estando disponible (ya que puede que necesite la ruta para actualizar el código). Si el router ejecuta la versión 12.0 o posterior del software del IOS de Cisco, siempre tiene la opción de utilizar el protocolo de transferencia de archivos (FTP) para transferir imágenes a los routers que ejecutan el software del IOS de Cisco.

    • Block NetBIOS (Bloquear NetBIOS). NetBIOS no debe tener que abandonar una red de área local (LAN). Los proveedores del servicio deberían filtrar NetBIOS mediante los puertos de bloqueo 137, 138, 139 y 445.

  • El gusano usa su propio motor SMTP para enviar correos electrónicos fuera e infecta otros sistemas.

    Consejo: Bloquear puerto 25 (SMTP) en las partes internas de la red. Los usuarios que recuperan su correo electrónico mediante el protocolo de oficina de correos (POP) 3 (puerto 110) o el protocolo de acceso a correo electrónico (IMAP) (puerto 143) no necesitan acceso al puerto 25. Sólo permita que el puerto 25 se abra enfrentando al servidor SMTP para la red. Esto puede no ser factible para los usuarios que utilizan Eudora, Netscape y Outlook Express, entre otros, ya que tienen su propio motor SMTP y generarán conexiones salientes usando el puerto 25. Sería conveniente investigar los usos posibles de los servidores proxy o de algún otro mecanismo.

  • Limpiar servidores de aplicaciones/CallManager de Cisco

    Consejo: Los usuarios con Call Managers y servidores de aplicaciones Call Manager en sus redes deben hacer lo siguiente para detener la propagación del virus. No deben navegar a la máquina infectada desde el Call Manager y tampoco deben compartir ninguna unidad en el servidor del Call Manager. Siga las instrucciones proporcionadas en Limpieza del Virus Nimda de Cisco CallManager 3.x y de los Servidores de Aplicaciones CallManager para limpiar el virus Nimda.

  • Filtrar el virus Nimda en el CSS 11000

    Consejo: Los usuarios con CSS 11000 deben seguir las instrucciones proporcionadas en Filtrado del Virus Nimda en CSS 11000 para limpiar el virus NIMDA.

  • Respuesta del Sistema de detección segura de intrusiones (Cisco Secure Intrusion Detection System, CS IDS) al virus Nimda

    Sugerencia: El IDS CS tiene dos componentes diferentes disponibles. Uno es el IDS basado en host (HIDS) que tiene un sensor de host y el IDS basado en red (NIDS) que tiene un sensor de red, ambos responden de manera diferente al virus Nimda. Para obtener una explicación más detallada y el curso de acción recomendado, consulte Cómo responde Cisco Secure IDS al virus Nimda.

Información Relacionada

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos