Hoe uw netwerk te beschermen tegen het Nimda-virus

Downloadopties

PDF (267.2 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (86.1 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (73.6 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:6 maart 2008

Document-id:4615

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Achtergrondinformatie

Ondersteunde platforms

Hoe de schade te minimaliseren en de fall-out te beperken

Gerelateerde informatie

Inleiding

In dit document worden manieren beschreven om de impact van de Nimda-worm op uw netwerk te minimaliseren. In dit document komen twee onderwerpen aan bod:

Het netwerk is geïnfecteerd, wat kan er worden gedaan? Hoe kun je de schade en de gevolgen minimaliseren?
Het netwerk is nog niet geïnfecteerd of slechts gedeeltelijk geïnfecteerd. Wat kan worden gedaan om de verspreiding van deze worm te minimaliseren?

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Voor achtergrondinformatie over de Nimda-worm raadpleegt u deze links:

Ondersteunde platforms

Voor de Network-based Application Recognition (NBAR)-oplossing die in dit document wordt beschreven, is de klassegebaseerde markeringsfunctie binnen de Cisco IOS®-software vereist. In het bijzonder maakt de mogelijkheid om te matchen op elk deel van een HTTP-URL gebruik van de HTTP-subpoortclassificatiefunctie binnen NBAR. De ondersteunde platforms en minimale vereisten voor Cisco IOS-software worden hieronder samengevat:

Platform	Minimale Cisco IOS-softwareversie
7200	12,1(5)T
7100	12,1(5)T
3660	12,1(5)T
3640	12,1(5)T
3620	12,1(5)T
2600	12,1(5)T
1700	12,2(5)T

Opmerking: u moet Cisco Express Forwarding (CEF) inschakelen om Network-Based Application Recognition (NBAR) te kunnen gebruiken.

NBAR wordt ook ondersteund op sommige Cisco IOS-softwareplatforms die beginnen met release 12.1E. Zie Ondersteunde protocollen in de documentatie voor netwerkgebaseerde toepassingsherkenning.

Klasse-gebaseerde markering en gedistribueerde NBAR (DNBAR) zijn ook beschikbaar op de volgende platforms:

Platform	Minimale Cisco IOS-softwareversie
7500	12.1, punt 6, onder e)
FlexWAN	12.1, punt 6, onder e)

Als u NBAR implementeert, moet u zich bewust zijn van Cisco bug ID CSCdv06207 (alleen geregistreerde klanten). De in CSCdv06207 beschreven oplossing kan nodig zijn als u dit defect tegenkomt.

De Access Control List (ACL)-oplossing wordt ondersteund in alle huidige versies van Cisco IOS-software.

Voor oplossingen waarbij u de modulaire opdrachtregelinterface (CLI) voor Quality of Service (QoS) moet gebruiken (zoals voor snelheidsbeperkend ARP-verkeer of om snelheidsbeperkend te implementeren met policer in plaats van CAR), hebt u de modulaire opdrachtregelinterface voor Quality of Service nodig die beschikbaar is in Cisco IOS-software releases 12.0XE, 12.1E, 12.1T en alle releases van 12.2.

Voor het gebruik van Committed Access Rate (CAR) hebt u Cisco IOS-softwarerelease 11.1CC en alle releases van 12.0 en latere software nodig.

Hoe de schade te minimaliseren en de fall-out te beperken

In dit gedeelte worden de infectievectoren beschreven die het Nimda-virus kunnen verspreiden en worden tips gegeven om de verspreiding van het virus te verminderen:

De worm kan zich verspreiden via e-mailbijlagen van het MIME-audio / x-wav-type.

Tips:
- Voeg regels toe aan uw SMTP-server (Simple Mail Transfer Protocol) om elke e-mail met deze bijlagen te blokkeren:
  - readme.exe
  - Admin.dll
De worm kan zich verspreiden wanneer u door een geïnfecteerde webserver bladert met Javascript-uitvoering ingeschakeld en met behulp van een versie van Internet Explorer (IE) die kwetsbaar is voor de exploits besproken in MS01-020 (bijvoorbeeld IE 5.0 of IE 5.01 zonder SP2).

Tips:
- Gebruik Netscape als uw browser, of schakel Javascript uit op IE, of laat IE patchen naar SP II.
- Gebruik Cisco Network-based Application Recognition (NBAR) om te voorkomen dat readme.eml-bestanden worden gedownload. Hier is een voorbeeld om NBAR te configureren:
```
Router(config)#class-map match-any http-hacks 
Router(config-cmap)#match protocol http url "*readme.eml*" 
```
  Zodra u het verkeer hebt afgestemd, kunt u ervoor kiezen om het verkeer te negeren of op beleid gebaseerde route te volgen om geïnfecteerde hosts te controleren. Voorbeelden van de volledige implementatie zijn te vinden in het gebruik van netwerkgebaseerde applicatieherkennings- en toegangscontrolelijsten voor het blokkeren van de "Code Red"-worm.
De worm kan zich van machine tot machine verspreiden in de vorm van IIS-aanvallen (het probeert voornamelijk kwetsbaarheden te misbruiken die zijn gecreëerd door de effecten van Code Red II, maar ook kwetsbaarheden die eerder zijn gepatcht door MS00-078 ).

Tips:
- Gebruik de Code Red-schema's die worden beschreven in:
  
  Omgaan met mallocfail en hoog CPU-gebruik als gevolg van de "Code Red"-worm
  
  Netwerkgebaseerde toepassingsherkenning en toegangscontrolelijsten gebruiken voor het blokkeren van de "Code Red"-worm
```
Router(config)#class-map match-any http-hacks 
Router(config-cmap)#match protocol http url "*.ida*" 
Router(config-cmap)#match protocol http url "*cmd.exe*" 
Router(config-cmap)#match protocol http url "*root.exe*" 
Router(config-cmap)#match protocol http url "*readme.eml*" 
```
  Zodra u het verkeer hebt afgestemd, kunt u ervoor kiezen om het verkeer te negeren of op beleid gebaseerde route te volgen om geïnfecteerde hosts te controleren. Voorbeelden van de volledige implementatie zijn te vinden in het gebruik van netwerkgebaseerde applicatieherkennings- en toegangscontrolelijsten voor het blokkeren van de "Code Red"-worm.
- Rate-limit TCP synchronize/start (SYN) pakketten. Dit beschermt een host niet, maar het stelt uw netwerk in staat om op een gedegradeerde manier te werken en toch op te blijven. Door SYN's te beperken, gooit u pakketten weg die een bepaalde snelheid overschrijden, dus sommige TCP-verbindingen zullen doorkomen, maar niet allemaal. Raadpleeg voor configuratievoorbeelden de sectie "Snelheidsbeperking voor TCP SYN-pakketten" van CAR gebruiken tijdens DOS-aanvallen.
- Overweeg het snelheidsbeperkende Address Resolution Protocol (ARP)-verkeer als de hoeveelheid ARP-scans problemen in het netwerk veroorzaakt. Configureer het volgende om ARP-verkeer te beperken:
```
class-map match-any arp 
   match protocol arp 
! 
! 
policy-map ratelimitarp
   class arp 
      police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
```
  Dit beleid moet vervolgens worden toegepast op de relevante LAN-interface als uitvoerbeleid. Wijzig de cijfers naar gelang het aantal ARP's per seconde dat u op het netwerk wilt toestaan.
De worm kan zich verspreiden door een .eml of .nws te markeren in Explorer met Active Desktop ingeschakeld (standaard W2K/ME/W98). Dit zorgt ervoor dat de THUMBVW.DLL het bestand uitvoert en probeert de README.EML waarnaar in wordt verwezen te downloaden (afhankelijk van uw IE-versie en zone-instellingen).

Tip: Gebruik zoals hierboven aanbevolen NBAR om te voorkomen dat readme.eml wordt gedownload.
De worm kan zich verspreiden via toegewezen schijven. Elke geïnfecteerde machine die netwerkstations heeft toegewezen, zal waarschijnlijk alle bestanden op het toegewezen station en de subdirectory's infecteren

Tips:
- Blokkeer Trivial File Transfer Protocol (TFTP) (poort 69) zodat geïnfecteerde machines geen TFTP kunnen gebruiken om bestanden over te zetten naar niet-geïnfecteerde hosts. Zorg ervoor dat TFTP-toegang voor routers nog steeds beschikbaar is (omdat u mogelijk het pad naar upgradecode nodig hebt). Als de router Cisco IOS-softwareversie 12.0 of hoger gebruikt, hebt u altijd de mogelijkheid om FTP (File Transfer Protocol) te gebruiken om afbeeldingen over te zetten naar routers met Cisco IOS-software.
- NetBIOS blokkeren. NetBIOS hoeft geen LAN (Local Area Network) te verlaten. Dienstverleners moeten NetBIOS eruit filteren door de poorten 137, 138, 139 en 445 te blokkeren.
De worm maakt gebruik van zijn eigen SMTP-engine om e-mails te verzenden om andere systemen te infecteren.

Tip: blokpoort 25 (SMTP) aan de binnenkant van uw netwerk. Gebruikers die hun e-mail ophalen met Post Office Protocol (POP) 3 (poort 110) of Internet Mail Access Protocol (IMAP) (poort 143) hebben geen toegang nodig tot poort 25. Alleen poort 25 open laten staan tegenover de SMTP-server voor het netwerk. Dit is mogelijk niet haalbaar voor gebruikers die onder andere Eudora, Netscape en Outlook Express gebruiken, omdat ze hun eigen SMTP-engine hebben en uitgaande verbindingen genereren met behulp van poort 25. Sommige onderzoeken moeten mogelijk worden toegepast op het mogelijke gebruik van proxyservers of een ander mechanisme.
Cisco CallManager/Applications-servers reinigen

Tip: Gebruikers met Call Managers en Call Manager-toepassingsservers in hun netwerken moeten het volgende doen om de verspreiding van het virus te stoppen. Ze mogen niet browsen naar een geïnfecteerd systeem vanuit de Call Manager en ze mogen ook geen stations delen op de Call Manager-server. Volg de instructies in Nimda Virus reinigen van Cisco CallManager 3.x en CallManager Applications Servers voor het reinigen van het Nimda-virus.
Filter het Nimda Virus op de CSS 11000

Tip: Gebruikers met CSS 11000 moeten de instructies volgen die worden gegeven in Filtering the Nimda Virus on CSS 11000 voor het reinigen van het NIMDA-virus.
Cisco Secure Intrusion Detection System (CS IDS) reactie op het Nimda Virus

Tip: De CS IDS heeft twee verschillende componenten beschikbaar. Een daarvan is de Host-based IDS (HIDS) met een Host Sensor en de Network-based IDS (NIDS) met een Network Sensor, die beide op een andere manier reageren op het Nimda-virus. Raadpleeg Hoe Cisco Secure IDS reageert op het Nimda-virus voor een meer gedetailleerde uitleg en de aanbevolen manier van handelen.