Como proteger sua rede contra o vírus Nimda

Opções de download

  • PDF     (267.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (85.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (72.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:6 de março de 2008
ID do documento:4615

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve maneiras de minimizar o impacto do worm Nimda na rede. Este documento aborda dois tópicos:

  • A rede está infectada, o que pode ser feito? Como você pode minimizar os danos e as consequências?

  • A rede ainda não está infectada ou está apenas parcialmente infectada. O que pode ser feito para minimizar a disseminação desse worm?

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Informações de Apoio

Para obter informações básicas sobre o worm Nimda, consulte estes links:

Plataformas suportadas

A solução de reconhecimento de aplicativos baseados em rede (NBAR) descrita neste documento requer o recurso de marcação baseada em classe no software Cisco IOS®. Especificamente, a capacidade de corresponder em uma parte de um URL de HTTP usa o recurso de classificação de subporta HTTP dentro do NBAR. As plataformas suportadas e os requisitos mínimos do Cisco IOS Software estão resumidos a seguir:

Platform Versão mínima do Cisco IOS Software
7200 12.1(5)T
7100 12.1(5)T
3660 12.1(5)T
3640 12.1(5)T
3620 12.1(5)T
2600 12.1(5)T
1700 12.2(5)T

Observação: você precisa habilitar o Cisco Express Forwarding (CEF) para usar o Network-Based Application Recognition (NBAR).

O NBAR também é suportado em algumas plataformas do software Cisco IOS a partir da versão 12.1E. Consulte "Protocolos suportados" na documentação de reconhecimento de aplicativos baseados em rede.

A marcação baseada em classe e o NBAR distribuído (DNBAR) também estão disponíveis nas seguintes plataformas:

Platform Versão mínima do Cisco IOS Software
7500 12.1(6)E
FlexWAN 12.1(6)E

Se você estiver implantando o NBAR, esteja ciente do bug da Cisco ID CSCdv06207 (somente clientes registrados) . A solução alternativa descrita em CSCdv06207 talvez seja necessária se você encontrar este defeito.

A solução Access Control List (ACL) é suportada em todas as versões atuais do software Cisco IOS.

Para soluções em que você precisa usar a interface de linha de comando (CLI) de Qualidade de Serviço (QoS - Modular Quality of Service) (como para o tráfego ARP de limitação de taxa ou para implementar a limitação de taxa com vigilante em vez de CAR), você precisa da Interface de Linha de Comando de Qualidade de Serviço Modular que está disponível nas versões 12.0XE, 12.1E, 12.1T do software Cisco IOS e em todas as versões 12.2.

Para usar a Taxa de Acesso Comprometida (CAR - Committed Access Rate), você precisa do software Cisco IOS versão 11.1CC e todas as versões do software 12.0 e posteriores.

Como minimizar os danos e limitar as consequências

Esta seção descreve os vetores de infecção que podem espalhar o vírus Nimda e fornece dicas para reduzir a propagação do vírus:

  • O worm pode se espalhar através de anexos de e-mail do tipo MIME audio/x-wav.

    Dicas:

    • Adicione regras ao seu servidor SMTP (Simple Mail Transfer Protocol) para bloquear qualquer email que tenha estes anexos:

      • readme.exe

      • Admin.dll

  • O worm pode se espalhar quando você navega por um servidor Web infectado com a execução de Javascript ativada e usando uma versão do Internet Explorer (IE) que é vulnerável às explorações discutidas no MS01-020icon_popup_short.gif (por exemplo, IE 5.0 ou IE 5.01 sem SP2).

    Dicas:

    • Use o Netscape como navegador, desative o Javascript no IE ou faça com que o IE seja corrigido para o SP II.

    • Utilize o NBAR (Reconhecimento de aplicativo baseado em rede) da Cisco para filtrar os arquivos readme.eml a serem baixados. Aqui está um exemplo para configurar o NBAR: 

      Router(config)#class-map match-any http-hacks 
Router(config-cmap)#match protocol http url "*readme.eml*"

      Após comparar o tráfego, você pode optar por descartar ou roteá-lo com base em política, para monitorar os hosts infectados. Exemplos da implementação completa podem ser encontrados em Uso do reconhecimento de aplicativos baseados em rede e listas de controle de acesso para bloquear o worm "Código vermelho".

  • O worm pode se espalhar de máquina para máquina na forma de ataques do IIS (ele tenta principalmente explorar vulnerabilidades criadas pelos efeitos do Code Red II, mas também vulnerabilidades anteriormente corrigidas pelo MS00-078icon_popup_short.gif ).

    Dicas:

    • Use os esquemas de código vermelho descritos em:

      Lidando com mallocfail e utilização elevada de CPU, resultante do worm "código vermelho”

      Usando reconhecimento de aplicativos baseados em rede e listas de controle de acesso para bloquear o worm "Code Red" 

      Router(config)#class-map match-any http-hacks 
Router(config-cmap)#match protocol http url "*.ida*" 
Router(config-cmap)#match protocol http url "*cmd.exe*" 
Router(config-cmap)#match protocol http url "*root.exe*" 
Router(config-cmap)#match protocol http url "*readme.eml*"

      Após comparar o tráfego, você pode optar por descartar ou roteá-lo com base em política, para monitorar os hosts infectados. Exemplos da implementação completa podem ser encontrados em Uso do reconhecimento de aplicativos baseados em rede e listas de controle de acesso para bloquear o worm "Código vermelho".

    • Pacotes SYN (sincronizar/iniciar) de TCP de limite de taxa. Isso não protege um host, mas permite que sua rede seja executada de maneira degradada e permaneça ativa. Ao limitar a taxa de SYNs, você está descartando pacotes que excedem uma determinada taxa, de modo que algumas conexões TCP passarão, mas não todas. Para obter exemplos de configuração, consulte a seção "Limitação de taxa para pacotes TCP SYN" de Uso de CAR durante ataques DOS.

    • Considere o limite de taxa do tráfego ARP (Address Resolution Protocol) se a quantidade de varreduras ARP estiver causando problemas na rede. Para limitar a taxa de tráfego ARP, configure o seguinte: 

      class-map match-any arp 
   match protocol arp 
! 
! 
policy-map ratelimitarp
   class arp 
      police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop

      Em seguida, essa política precisa ser aplicada à interface LAN relevante como uma política de saída. Modifique as figuras conforme apropriado para atender ao número de ARPs por segundo que você deseja permitir na rede.

  • O worm pode se espalhar destacando um .eml ou .nws no Explorer com o Ative Desktop ativado (W2K/ME/W98 por padrão). Isso faz com que a THUMBVW.DLL execute o arquivo e tente carregar o README.EML relacionado nele (dependendo de sua versão do IE e configurações de zona).

    Dica: como recomendado acima, use o NBAR para filtrar o arquivo readme.eml para que não seja baixado.

  • O worm pode se difundir em unidades mapeadas. Qualquer máquina infectada que tenha unidades de rede mapeadas provavelmente infectará todos os arquivos na unidade mapeada e em seus subdiretórios

    Dicas:

    • Bloqueie o TFTP (Trivial File Transfer Protocol) (porta 69) para que as máquinas infectadas não possam usar o TFTP para transferir arquivos para hosts não infectados. Certifique-se de que o acesso TFTP para roteadores ainda esteja disponível (pois você pode precisar do caminho para atualizar o código). Se o roteador estiver executando o software Cisco IOS versão 12.0 ou posterior, você sempre terá a opção de usar o FTP (File Transfer Protocol) para transferir imagens para roteadores que executam o software Cisco IOS.

    • Bloquear NetBIOS. O NetBIOS não deve ter que sair de uma rede local (LAN). Os provedores de serviços devem filtrar a saída de NetBIOS, bloqueando as portas 137, 138, 139 e 445.

  • O worm utiliza seu próprio mecanismo de SMTP para enviar e-mails e infectar outros sistemas.

    Dica: bloqueie a porta 25 (SMTP) nas partes internas da rede. Os usuários que estão recuperando seus e-mails usando o protocolo POP 3 (porta 110) ou o protocolo IMAP (Internet Mail Access Protocol) (porta 143) não precisam acessar a porta 25. Permita apenas que a porta 25 seja aberta voltada para o servidor SMTP da rede. Isso pode não ser viável para usuários que usam Eudora, Netscape e Outlook Express, entre outros, pois eles têm seu próprio mecanismo SMTP e gerarão conexões de saída usando a porta 25. Pode ser necessário aplicar alguma investigação aos possíveis usos de servidores proxy ou algum outro mecanismo.

  • Limpar servidores Cisco CallManager/aplicativos

    Dica: os usuários com Call Managers e servidores de aplicativos Call Manager em suas redes devem fazer o seguinte para interromper a propagação do vírus. Eles não devem navegar até a máquina infectada a partir do Call Manager e também não devem compartilhar nenhuma unidade no servidor do Call Manager. Siga as instruções fornecidas em Limpeza do vírus Nimda do Cisco CallManager 3.x e dos servidores de aplicativos do CallManager para a limpeza do vírus Nimda.

  • Filtre o vírus Nimda no CSS 11000

    Dica: os usuários com CSS 11000 devem seguir as instruções fornecidas em Filtrando o vírus Nimda no CSS 11000 para limpar o vírus NIMDA.

  • Resposta do Cisco Secure Intrusion Detection System (CS IDS) ao vírus Nimda

    Dica: o CS IDS tem dois componentes diferentes disponíveis. Um é o IDS baseado em host (HIDS) que tem um sensor de host e o IDS baseado em rede (NIDS) que tem um sensor de rede, ambos respondendo de maneira diferente ao vírus Nimda. Para obter uma explicação mais detalhada e o procedimento recomendado, consulte Como o Cisco Secure IDS responde ao vírus Nimda.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
24-Sep-2001
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos