In dit document worden manieren beschreven om de impact van de Nimda-worm op uw netwerk te minimaliseren. In dit document komen twee onderwerpen aan bod:
Het netwerk is geïnfecteerd, wat kan er worden gedaan? Hoe kun je de schade en de gevolgen minimaliseren?
Het netwerk is nog niet geïnfecteerd of slechts gedeeltelijk geïnfecteerd. Wat kan worden gedaan om de verspreiding van deze worm te minimaliseren?
Er zijn geen specifieke vereisten van toepassing op dit document.
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Voor achtergrondinformatie over de Nimda-worm raadpleegt u deze links:
Voor de Network-based Application Recognition (NBAR)-oplossing die in dit document wordt beschreven, is de klassegebaseerde markeringsfunctie binnen de Cisco IOS®-software vereist. In het bijzonder maakt de mogelijkheid om te matchen op elk deel van een HTTP-URL gebruik van de HTTP-subpoortclassificatiefunctie binnen NBAR. De ondersteunde platforms en minimale vereisten voor Cisco IOS-software worden hieronder samengevat:
Platform | Minimale Cisco IOS-softwareversie |
---|---|
7200 | 12,1(5)T |
7100 | 12,1(5)T |
3660 | 12,1(5)T |
3640 | 12,1(5)T |
3620 | 12,1(5)T |
2600 | 12,1(5)T |
1700 | 12,2(5)T |
Opmerking: u moet Cisco Express Forwarding (CEF) inschakelen om Network-Based Application Recognition (NBAR) te kunnen gebruiken.
NBAR wordt ook ondersteund op sommige Cisco IOS-softwareplatforms die beginnen met release 12.1E. Zie Ondersteunde protocollen in de documentatie voor netwerkgebaseerde toepassingsherkenning.
Klasse-gebaseerde markering en gedistribueerde NBAR (DNBAR) zijn ook beschikbaar op de volgende platforms:
Platform | Minimale Cisco IOS-softwareversie |
---|---|
7500 | 12.1, punt 6, onder e) |
FlexWAN | 12.1, punt 6, onder e) |
Als u NBAR implementeert, moet u zich bewust zijn van Cisco bug ID CSCdv06207 (alleen geregistreerde klanten). De in CSCdv06207 beschreven oplossing kan nodig zijn als u dit defect tegenkomt.
De Access Control List (ACL)-oplossing wordt ondersteund in alle huidige versies van Cisco IOS-software.
Voor oplossingen waarbij u de modulaire opdrachtregelinterface (CLI) voor Quality of Service (QoS) moet gebruiken (zoals voor snelheidsbeperkend ARP-verkeer of om snelheidsbeperkend te implementeren met policer in plaats van CAR), hebt u de modulaire opdrachtregelinterface voor Quality of Service nodig die beschikbaar is in Cisco IOS-software releases 12.0XE, 12.1E, 12.1T en alle releases van 12.2.
Voor het gebruik van Committed Access Rate (CAR) hebt u Cisco IOS-softwarerelease 11.1CC en alle releases van 12.0 en latere software nodig.
In dit gedeelte worden de infectievectoren beschreven die het Nimda-virus kunnen verspreiden en worden tips gegeven om de verspreiding van het virus te verminderen:
De worm kan zich verspreiden via e-mailbijlagen van het MIME-audio / x-wav-type.
Tips:
Voeg regels toe aan uw SMTP-server (Simple Mail Transfer Protocol) om elke e-mail met deze bijlagen te blokkeren:
readme.exe
Admin.dll
De worm kan zich verspreiden wanneer u door een geïnfecteerde webserver bladert met Javascript-uitvoering ingeschakeld en met behulp van een versie van Internet Explorer (IE) die kwetsbaar is voor de exploits besproken in MS01-020 (bijvoorbeeld IE 5.0 of IE 5.01 zonder SP2).
Tips:
Gebruik Netscape als uw browser, of schakel Javascript uit op IE, of laat IE patchen naar SP II.
Gebruik Cisco Network-based Application Recognition (NBAR) om te voorkomen dat readme.eml-bestanden worden gedownload. Hier is een voorbeeld om NBAR te configureren:
Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*readme.eml*"
Zodra u het verkeer hebt afgestemd, kunt u ervoor kiezen om het verkeer te negeren of op beleid gebaseerde route te volgen om geïnfecteerde hosts te controleren. Voorbeelden van de volledige implementatie zijn te vinden in het gebruik van netwerkgebaseerde applicatieherkennings- en toegangscontrolelijsten voor het blokkeren van de "Code Red"-worm.
De worm kan zich van machine tot machine verspreiden in de vorm van IIS-aanvallen (het probeert voornamelijk kwetsbaarheden te misbruiken die zijn gecreëerd door de effecten van Code Red II, maar ook kwetsbaarheden die eerder zijn gepatcht door MS00-078 ).
Tips:
Gebruik de Code Red-schema's die worden beschreven in:
Omgaan met mallocfail en hoog CPU-gebruik als gevolg van de "Code Red"-worm
Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*.ida*" Router(config-cmap)#match protocol http url "*cmd.exe*" Router(config-cmap)#match protocol http url "*root.exe*" Router(config-cmap)#match protocol http url "*readme.eml*"
Zodra u het verkeer hebt afgestemd, kunt u ervoor kiezen om het verkeer te negeren of op beleid gebaseerde route te volgen om geïnfecteerde hosts te controleren. Voorbeelden van de volledige implementatie zijn te vinden in het gebruik van netwerkgebaseerde applicatieherkennings- en toegangscontrolelijsten voor het blokkeren van de "Code Red"-worm.
Rate-limit TCP synchronize/start (SYN) pakketten. Dit beschermt een host niet, maar het stelt uw netwerk in staat om op een gedegradeerde manier te werken en toch op te blijven. Door SYN's te beperken, gooit u pakketten weg die een bepaalde snelheid overschrijden, dus sommige TCP-verbindingen zullen doorkomen, maar niet allemaal. Raadpleeg voor configuratievoorbeelden de sectie "Snelheidsbeperking voor TCP SYN-pakketten" van CAR gebruiken tijdens DOS-aanvallen.
Overweeg het snelheidsbeperkende Address Resolution Protocol (ARP)-verkeer als de hoeveelheid ARP-scans problemen in het netwerk veroorzaakt. Configureer het volgende om ARP-verkeer te beperken:
class-map match-any arp match protocol arp ! ! policy-map ratelimitarp class arp police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
Dit beleid moet vervolgens worden toegepast op de relevante LAN-interface als uitvoerbeleid. Wijzig de cijfers naar gelang het aantal ARP's per seconde dat u op het netwerk wilt toestaan.
De worm kan zich verspreiden door een .eml of .nws te markeren in Explorer met Active Desktop ingeschakeld (standaard W2K/ME/W98). Dit zorgt ervoor dat de THUMBVW.DLL het bestand uitvoert en probeert de README.EML waarnaar in wordt verwezen te downloaden (afhankelijk van uw IE-versie en zone-instellingen).
Tip: Gebruik zoals hierboven aanbevolen NBAR om te voorkomen dat readme.eml wordt gedownload.
De worm kan zich verspreiden via toegewezen schijven. Elke geïnfecteerde machine die netwerkstations heeft toegewezen, zal waarschijnlijk alle bestanden op het toegewezen station en de subdirectory's infecteren
Tips:
Blokkeer Trivial File Transfer Protocol (TFTP) (poort 69) zodat geïnfecteerde machines geen TFTP kunnen gebruiken om bestanden over te zetten naar niet-geïnfecteerde hosts. Zorg ervoor dat TFTP-toegang voor routers nog steeds beschikbaar is (omdat u mogelijk het pad naar upgradecode nodig hebt). Als de router Cisco IOS-softwareversie 12.0 of hoger gebruikt, hebt u altijd de mogelijkheid om FTP (File Transfer Protocol) te gebruiken om afbeeldingen over te zetten naar routers met Cisco IOS-software.
NetBIOS blokkeren. NetBIOS hoeft geen LAN (Local Area Network) te verlaten. Dienstverleners moeten NetBIOS eruit filteren door de poorten 137, 138, 139 en 445 te blokkeren.
De worm maakt gebruik van zijn eigen SMTP-engine om e-mails te verzenden om andere systemen te infecteren.
Tip: blokpoort 25 (SMTP) aan de binnenkant van uw netwerk. Gebruikers die hun e-mail ophalen met Post Office Protocol (POP) 3 (poort 110) of Internet Mail Access Protocol (IMAP) (poort 143) hebben geen toegang nodig tot poort 25. Alleen poort 25 open laten staan tegenover de SMTP-server voor het netwerk. Dit is mogelijk niet haalbaar voor gebruikers die onder andere Eudora, Netscape en Outlook Express gebruiken, omdat ze hun eigen SMTP-engine hebben en uitgaande verbindingen genereren met behulp van poort 25. Sommige onderzoeken moeten mogelijk worden toegepast op het mogelijke gebruik van proxyservers of een ander mechanisme.
Cisco CallManager/Applications-servers reinigen
Tip: Gebruikers met Call Managers en Call Manager-toepassingsservers in hun netwerken moeten het volgende doen om de verspreiding van het virus te stoppen. Ze mogen niet browsen naar een geïnfecteerd systeem vanuit de Call Manager en ze mogen ook geen stations delen op de Call Manager-server. Volg de instructies in Nimda Virus reinigen van Cisco CallManager 3.x en CallManager Applications Servers voor het reinigen van het Nimda-virus.
Filter het Nimda Virus op de CSS 11000
Tip: Gebruikers met CSS 11000 moeten de instructies volgen die worden gegeven in Filtering the Nimda Virus on CSS 11000 voor het reinigen van het NIMDA-virus.
Cisco Secure Intrusion Detection System (CS IDS) reactie op het Nimda Virus
Tip: De CS IDS heeft twee verschillende componenten beschikbaar. Een daarvan is de Host-based IDS (HIDS) met een Host Sensor en de Network-based IDS (NIDS) met een Network Sensor, die beide op een andere manier reageren op het Nimda-virus. Raadpleeg Hoe Cisco Secure IDS reageert op het Nimda-virus voor een meer gedetailleerde uitleg en de aanbevolen manier van handelen.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
24-Sep-2001
|
Eerste vrijgave |