Schutz Ihres Netzwerks vor dem Nimda-Virus

Download-Optionen

PDF (267.4 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (85.6 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (72.8 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:6. März 2008

Dokument-ID:4615

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Konventionen

Hintergrundinformationen

Unterstützte Plattformen

Schadensminimierung und Begrenzung des Ausfalles

Zugehörige Informationen

Einleitung

Dieses Dokument beschreibt Möglichkeiten, die Auswirkungen des Nimda-Wurms auf Ihr Netzwerk zu minimieren. In diesem Dokument werden zwei Themen behandelt:

Das Netzwerk ist infiziert, was kann getan werden? Wie können Sie die Schäden und die Folgen minimieren?
Das Netzwerk ist noch nicht oder nur teilweise infiziert. Was kann getan werden, um die Ausbreitung dieses Wurms zu minimieren?

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Hintergrundinformationen zum Nimda-Wurm finden Sie unter folgenden Links:

Unterstützte Plattformen

Die in diesem Dokument beschriebene netzwerkbasierte Lösung zur Anwendungserkennung (NBAR) erfordert die klassenbasierte Markierungsfunktion der Cisco IOS®-Software. Insbesondere die Möglichkeit, einen beliebigen Teil einer HTTP-URL abzugleichen, nutzt die Klassifizierungsfunktion für HTTP-Subports in NBAR. Die unterstützten Plattformen und die Cisco IOS Software-Mindestanforderungen sind im Folgenden zusammengefasst:

Plattform	Mindestversion der Cisco IOS Software
7200	12.1(5)T
7100	12.1(5)T
3660	12.1(5)T
3640	12.1(5)T
3620	12.1(5)T
2600	12.1(5)T
1700	12,2(5)T

Hinweis: Sie müssen Cisco Express Forwarding (CEF) aktivieren, um Network-Based Application Recognition (NBAR) verwenden zu können.

NBAR wird ab Version 12.1E auch von einigen Cisco IOS-Softwareplattformen unterstützt. Siehe "Unterstützte Protokolle" in der Dokumentation zur netzwerkbasierten Anwendungserkennung.

Class-based Marking und Distributed NBAR (DNBAR) sind auch auf den folgenden Plattformen verfügbar:

Plattform	Mindestversion der Cisco IOS Software
7500	12.1(6)E
FlexWAN	12.1(6)E

Wenn Sie NBAR bereitstellen, beachten Sie die Cisco Bug-ID CSCdv06207 (nur registrierte Kunden). Die in CSCdv06207 beschriebene Problemumgehung kann erforderlich sein, wenn Sie auf diesen Fehler stoßen.

Die ACL-Lösung (Access Control List) wird von allen aktuellen Versionen der Cisco IOS-Software unterstützt.

Für Lösungen, bei denen Sie die Modular Quality of Service (QoS)-Befehlszeilenschnittstelle (CLI) verwenden müssen (z. B. zur Beschränkung der Übertragungsrate des ARP-Datenverkehrs oder zur Implementierung der Übertragungsratenbegrenzung mit Richtlinienvergabe anstelle von CAR), benötigen Sie die Modular Quality of Service-Befehlszeilenschnittstelle (CLI), die in den Cisco IOS-Softwareversionen 12.0XE, 12.1E, 12.1E und alle Releases von 12.2.

Für die Nutzung von Committed Access Rate (CAR) benötigen Sie die Cisco IOS Softwareversion 11.1CC und alle Versionen von Software der Version 12.0 und höher.

Schadensminimierung und Begrenzung des Ausfalles

Dieser Abschnitt beschreibt die Infektionsvektoren, die das Nimda-Virus verbreiten können, und enthält Tipps zur Reduzierung der Ausbreitung des Virus:

Der Wurm kann sich über E-Mail-Anhänge vom Typ MIME audio/x-wav verbreiten.

Tipps:
- Fügen Sie Regeln auf Ihrem SMTP-Server (Simple Mail Transfer Protocol) hinzu, um E-Mails mit diesen Anhängen zu blockieren:
  - readme.exe
  - Admin.dll
Der Wurm kann sich ausbreiten, wenn Sie einen infizierten Webserver mit aktivierter JavaScript-Ausführung und unter Verwendung einer Version von Internet Explorer (IE) durchsuchen, die anfällig für die in MS01-020 diskutierten Exploits ist (z. B. IE 5.0 oder IE 5.01 ohne SP2) .

Tipps:
- Verwenden Sie Netscape als Browser, oder deaktivieren Sie Javascript auf IE, oder erhalten IE gepatcht SP II.
- Verwenden Sie Cisco Network-based Application Recognition (NBAR), um readme.eml-Dateien vor dem Herunterladen zu filtern. Nachfolgend finden Sie ein Beispiel für die Konfiguration der NBAR:
```
Router(config)#class-map match-any http-hacks 
Router(config-cmap)#match protocol http url "*readme.eml*" 
```
  Wenn Sie den Datenverkehr zugeordnet haben, können Sie den Datenverkehr entweder verwerfen oder richtlinienbasiert weiterleiten, um infizierte Hosts zu überwachen. Beispiele für die vollständige Implementierung finden Sie unter Verwenden der netzwerkbasierten Anwendungserkennung und Zugriffskontrolllisten zum Blockieren des "Code Red"-Wurms.
Der Wurm kann sich in Form von IIS-Angriffen von Maschine zu Maschine ausbreiten (er versucht in erster Linie, Schwachstellen auszunutzen, die durch die Auswirkungen von Code Red II entstanden sind, aber auch Schwachstellen, die zuvor von MS00-078 gepatcht wurden ).

Tipps:
- Verwenden Sie die in beschriebenen Code-Rot-Schemata:
  
  Der Umgang mit Mallocfail und hoher CPU-Auslastung aufgrund des "Code Red" Wurms
  
  Verwendung von netzwerkbasierten Anwendungserkennungs- und Zugriffskontrolllisten zur Blockierung des "Code Red"-Wurms
```
Router(config)#class-map match-any http-hacks 
Router(config-cmap)#match protocol http url "*.ida*" 
Router(config-cmap)#match protocol http url "*cmd.exe*" 
Router(config-cmap)#match protocol http url "*root.exe*" 
Router(config-cmap)#match protocol http url "*readme.eml*" 
```
  Wenn Sie den Datenverkehr zugeordnet haben, können Sie den Datenverkehr entweder verwerfen oder richtlinienbasiert weiterleiten, um infizierte Hosts zu überwachen. Beispiele für die vollständige Implementierung finden Sie unter Verwenden der netzwerkbasierten Anwendungserkennung und Zugriffskontrolllisten zum Blockieren des "Code Red"-Wurms.
- Durchsatzbegrenzer für SYN-Pakete (TCP synchronisieren/starten). Dadurch wird zwar kein Host geschützt, aber das Netzwerk kann auf eine herabgesetzte Weise ausgeführt werden und bleibt dennoch aktiv. Durch die Durchsatzbegrenzung für SYNs werden Pakete verworfen, die eine bestimmte Durchsatzrate überschreiten, sodass einige TCP-Verbindungen zwar durchkommen, aber nicht alle. Konfigurationsbeispiele finden Sie im Abschnitt "Rate Limiting for TCP SYN Packets" (Übertragungsratenbegrenzung für TCP-SYN-Pakete) unter Using CAR While DOS Attacks.
- Berücksichtigen Sie die Durchsatzratenbegrenzung für ARP-Datenverkehr, wenn die Anzahl der ARP-Scans Probleme im Netzwerk verursacht. Um die Durchsatzrate für ARP-Datenverkehr zu begrenzen, konfigurieren Sie Folgendes:
```
class-map match-any arp 
   match protocol arp 
! 
! 
policy-map ratelimitarp
   class arp 
      police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
```
  Diese Richtlinie muss dann als Ausgaberichtlinie auf die entsprechende LAN-Schnittstelle angewendet werden. Passen Sie die Werte entsprechend an, um die Anzahl der ARPs pro Sekunde zu berücksichtigen, die im Netzwerk zugelassen werden sollen.
Der Wurm kann sich verbreiten, indem er entweder eine .eml- oder .nws-Datei im Explorer mit aktiviertem Active Desktop (W2K/ME/W98 standardmäßig) markiert. Dies veranlasst die THUMBVW.DLL, die Datei auszuführen und zu versuchen, die darin referenzierte README.EML herunterzuladen (abhängig von der IE-Version und den Zoneneinstellungen).

Tipp: Verwenden Sie NBAR wie oben empfohlen, um readme.eml vor dem Download zu filtern.
Der Wurm kann sich über zugeordnete Laufwerke verbreiten. Jeder infizierte Computer, der über zugeordnete Netzlaufwerke verfügt, infiziert wahrscheinlich alle Dateien auf dem zugeordneten Laufwerk und dessen Unterverzeichnissen.

Tipps:
- Block Trivial File Transfer Protocol (TFTP) (Port 69), sodass infizierte Computer TFTP nicht verwenden können, um Dateien auf nicht infizierte Hosts zu übertragen. Stellen Sie sicher, dass der TFTP-Zugang für Router weiterhin verfügbar ist (da Sie möglicherweise den Pfad für die Aktualisierung des Codes benötigen). Wenn auf dem Router die Cisco IOS Software-Version 12.0 oder höher ausgeführt wird, können Sie jederzeit mithilfe des File Transfer Protocol (FTP) Images auf Router übertragen, auf denen die Cisco IOS Software ausgeführt wird.
- NetBIOS blockieren. NetBIOS sollte ein lokales Netzwerk (LAN) nicht verlassen müssen. Service Provider sollten NetBIOS herausfiltern, indem sie die Ports 137, 138, 139 und 445 blockieren.
Der Wurm nutzt seine eigene SMTP-Engine, um E-Mails zu versenden, um andere Systeme zu infizieren.

Tipp: Blockieren Sie Port 25 (SMTP) im Inneren Ihres Netzwerks. Benutzer, die ihre E-Mails über Post Office Protocol (POP) 3 (Port 110) oder Internet Mail Access Protocol (IMAP) (Port 143) abrufen, benötigen keinen Zugriff auf Port 25. Öffnen Sie nur den Port 25 zum SMTP-Server für das Netzwerk hin. Dies ist unter anderem für Benutzer von Eudora, Netscape und Outlook Express möglicherweise nicht machbar, da sie über eine eigene SMTP-Engine verfügen und ausgehende Verbindungen über Port 25 generieren werden. Möglicherweise muss eine Untersuchung auf die mögliche Verwendung von Proxyservern oder einen anderen Mechanismus angewendet werden.
Saubere Cisco CallManager-/Anwendungsserver

Tipp: Benutzer, die Call Manager und Call Manager-Anwendungsserver in ihren Netzwerken einsetzen, müssen folgende Schritte durchführen, um die Ausbreitung des Virus zu stoppen. Sie dürfen nicht über den Call Manager zu einem infizierten Computer navigieren und auch keine Laufwerke auf dem Call Manager-Server freigeben. Befolgen Sie die Anweisungen unter Säubern des Nimda-Virus von Cisco CallManager 3.x und CallManager-Anwendungsservern zum Säubern des Nimda-Virus.
Filtern Sie den Nimda-Virus auf dem CSS 11000

Tipp: Benutzer mit CSS 11000 müssen die Anweisungen unter Filtern des Nimda-Virus auf CSS 11000 zum Reinigen des NIMDA-Virus befolgen.
Reaktion des Cisco Secure Intrusion Detection System (CS IDS) auf den Nimda-Virus

Tipp: Das CS IDS ist in zwei verschiedenen Komponenten erhältlich. Eines davon ist das Host-basierte IDS (HIDS) mit einem Host-Sensor und das Network-basierte IDS (NIDS) mit einem Netzwerksensor, die beide unterschiedlich auf den Nimda-Virus reagieren. Eine ausführlichere Erklärung und die empfohlene Vorgehensweise finden Sie unter How Cisco Secure IDS Responds to the Nimda Virus (Reaktion von Cisco Secure IDS auf den Nimda-Virus).