Hoe uw netwerk te beschermen tegen het Nimda-virus

Downloadopties

PDF (266.3 KB)
Met Adobe Reader op diverse apparaten bekijken

Bijgewerkt:6 maart 2008

Document-id:4615

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Achtergrondinformatie

Ondersteunde platforms

Hoe de schade te minimaliseren en de neerslag te beperken

Gerelateerde informatie

Inleiding

Dit document beschrijft manieren om de impact van de Nimda worm op uw netwerk te minimaliseren. Dit document heeft betrekking op twee onderwerpen:

Het netwerk is geïnfecteerd, wat kan er worden gedaan? Hoe kunt u de schade en neerslag minimaliseren?
Het netwerk is nog niet geïnfecteerd of slechts gedeeltelijk geïnfecteerd. Wat kan er worden gedaan om de verspreiding van deze worm te minimaliseren?

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Voor achtergrondinformatie over de Nimda-worm raadpleegt u de volgende links:

Ondersteunde platforms

De in dit document beschreven oplossing voor netwerkgebaseerde toepassingsherkenning (NBAR) vereist de op klasse gebaseerde markering binnen Cisco IOS®-software. Met name de mogelijkheid om te matchen op elk deel van een HTTP URL maakt gebruik van de HTTP-subpoortclassificatie binnen NBAR. De ondersteunde platforms en de minimale Cisco IOS-softwarevereisten worden hieronder samengevat:

Platform	Minimale Cisco IOS-softwareversie
7200	12,1(5)T
7100	12,1(5)T
3660	12,1(5)T
3640	12,1(5)T
3620	12,1(5)T
2600	12,1(5)T
1700	12,2(5)T

N.B.: U moet Cisco Express Forwarding (CEF) inschakelen om Network-Based Application Recognition (NBAR) te kunnen gebruiken.

NBAR wordt ook ondersteund op sommige Cisco IOS-softwareplatforms die beginnen met release 12.1E. Zie "Ondersteunde protocollen" in de netwerkgebaseerde documentatie voor toepassingsherkenning.

Op klasse gebaseerde markering en gedistribueerde NBAR (DNBAR) zijn ook beschikbaar op de volgende platforms:

Platform	Minimale Cisco IOS-softwareversie
7500	12.1(6)E
FlexWAN	12.1(6)E

Als u NBAR implementeert, dient u zich bewust te zijn van Cisco bug-id CSCdv06207 (alleen geregistreerde klanten). De tijdelijke oplossing die in CSCdv06207 wordt beschreven, kan nodig zijn als u dit defect ervaart.

De ACL-oplossing (Access Control List) wordt ondersteund in alle huidige releases van Cisco IOS-software.

Voor oplossingen waarbij u de Modular Quality of Service (QoS) opdrachtregelinterface (CLI) moet gebruiken (zoals voor snelheidsbeperkt ARP-verkeer of om snelheidsbeperking met policer in plaats van CAR te implementeren), hebt u de Modular Quality of Service Command-Line Interface nodig die beschikbaar is in Cisco IOS-softwarereleases 12.0XE, 12.1E, 12.1T en alle releases van 12.2.

Voor gebruik van Commited Access Rate (CAR) hebt u Cisco IOS-softwarerelease 11.1CC en alle releases van 12.0 en latere software nodig.

Hoe de schade te minimaliseren en de neerslag te beperken

In dit gedeelte worden de besmettingsvectoren beschreven die het Nimda-virus kunnen verspreiden en worden tips gegeven om de verspreiding van het virus terug te dringen:

De worm kan worden verspreid via e-mailbijlagen van het MIME audio/x-wav-type.

Tips:
- Voeg regels toe op uw Simple Mail Transfer Protocol (SMTP) server om e-mail te blokkeren die deze bijlagen heeft:
  - readme.exe
  - Admin.dll
De worm kan zich verspreiden wanneer u door een geïnfecteerde webserver bladert met Javascript-uitvoering ingeschakeld en met behulp van een versie van Internet Explorer (IE) die kwetsbaar is voor de exploits die in MS01-020 worden besproken (bijvoorbeeld IE 5.0 of IE 5.01 zonder SP2).

Tips:
- Gebruik Netscape als uw browser, of schakel Javascript uit op IE, of krijg IE patched naar SP II.
- Gebruik Cisco Network-based Application Recognition (NBAR) om te filteren op readme.eml-bestanden die gedownload worden. Hier is een voorbeeld om NBAR te vormen:
```
Router(config)#class-map match-any http-hacks 
Router(config-cmap)#match protocol http url "*readme.eml*" 
```
  Zodra u het verkeer hebt aangepast, kunt u ervoor kiezen om te verwijderen of op beleid gebaseerde route het verkeer om geïnfecteerde hosts te controleren. Voorbeelden van de volledige implementatie zijn te vinden in Network-Based Application Recognition and Access Control Lists voor het blokkeren van de "Code Red"-worm.
De worm kan zich van machine tot machine verspreiden in de vorm van IIS-aanvallen (het probeert voornamelijk kwetsbaarheden te exploiteren die zijn ontstaan door de effecten van Code Red II, maar ook kwetsbaarheden die eerder door MS00-078 zijn gepatched ).

Tips:
- Gebruik de programma's in het kader van Code Red zoals beschreven in:
  
  Omgaan met mallocfail en hoog CPU-gebruik als gevolg van de "Code Red" Worm
  
  Netwerkgebaseerde toepassingsherkenning en toegangscontrolelijsten gebruiken voor het blokkeren van de "Code Red"-worm
```
Router(config)#class-map match-any http-hacks 
Router(config-cmap)#match protocol http url "*.ida*" 
Router(config-cmap)#match protocol http url "*cmd.exe*" 
Router(config-cmap)#match protocol http url "*root.exe*" 
Router(config-cmap)#match protocol http url "*readme.eml*" 
```
  Zodra u het verkeer hebt aangepast, kunt u ervoor kiezen om te verwijderen of op beleid gebaseerde route het verkeer om geïnfecteerde hosts te controleren. Voorbeelden van de volledige implementatie zijn te vinden in Network-Based Application Recognition and Access Control Lists voor het blokkeren van de "Code Red"-worm.
- TCP-pakketten met snelheidsbeperking synchroniseren/starten (SYN). Dit beschermt een host niet, maar het maakt het mogelijk dat uw netwerk op een verslechterde manier draait en nog steeds omhoog blijft. Door snelheidsbeperkende SYNs, gooit u pakketten weg die een bepaalde tarief overschrijden, zodat zullen sommige TCP-verbindingen door, maar niet allen krijgen. Zie voor configuratievoorbeelden de sectie "Snelheidsbeperking voor TCP/SYN-pakketten" van CAR gebruiken tijdens DOS-aanvallen.
- Overweeg verkeer met ARP-verkeer (Rate-Limit Address Resolution Protocol) als de hoeveelheid ARP-scans problemen in het netwerk veroorzaakt. Om ARP verkeer te tarief-beperken, vorm het volgende:
```
class-map match-any arp 
   match protocol arp 
! 
! 
policy-map ratelimitarp
   class arp 
      police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
```
  Dit beleid moet vervolgens als uitvoerbeleid op de desbetreffende LAN-interface worden toegepast. Pas de cijfers aan zoals van toepassing om rekening te houden met het aantal ARP's per seconde dat u op het netwerk wilt toestaan.
De worm kan zich verspreiden door een .eml of .nws in Explorer te markeren met actieve desktop ingeschakeld (standaard W2K/ME/W98). Dit zorgt ervoor dat THUMBVW.DLL het bestand uitvoert en probeert het bestand README.EML te downloaden waarnaar in het wordt verwezen (afhankelijk van uw IE-versie en zone instellingen).

Tip: Zoals hierboven aanbevolen, gebruik NBAR om readme.eml te filteren van het downloaden.
De worm kan zich verspreiden door in kaart gebrachte schijven. Elke geïnfecteerde machine die netwerkdrives heeft toegewezen zal waarschijnlijk alle bestanden op de in kaart gebrachte drive en zijn submappen infecteren

Tips:
- Blokkeer Trivial File Transfer Protocol (TFTP) (poort 69) zodat geïnfecteerde machines geen TFTP kunnen gebruiken om bestanden naar niet-geïnfecteerde hosts over te brengen. Zorg ervoor dat de toegang van TFTP voor routers nog beschikbaar is (aangezien u de weg kunt nodig hebben om code te bevorderen). Als op de router Cisco IOS-softwareversie 12.0 of hoger wordt uitgevoerd, hebt u altijd de mogelijkheid om afbeeldingen met behulp van File Transfer Protocol (FTP) over te dragen naar routers waarop Cisco IOS-software wordt uitgevoerd.
- Blokkeer NetBIOS. NetBIOS zou geen Local Area Network (LAN) moeten verlaten. Serviceproviders moeten NetBIOS uitfilteren door poorten 137, 138, 139 en 445 te blokkeren.
De worm maakt gebruik van zijn eigen SMTP-engine om e-mails te versturen om andere systemen te infecteren.

Tip: Blokkeer poort 25 (SMTP) aan de binnenkant van uw netwerk. Gebruikers die hun e-mail ophalen met Post Office Protocol (POP) 3 (poort 110) of Internet Mail Access Protocol (IMAP) (poort 143) hebben geen toegang tot poort 25 nodig. Laat poort 25 alleen open tegenover de SMTP-server voor het netwerk. Dit is mogelijk niet haalbaar voor gebruikers die Eudora, Netscape en Outlook Express gebruiken, onder andere, omdat ze hun eigen SMTP-engine hebben en uitgaande verbindingen zullen genereren met behulp van poort 25. Er moet misschien wat onderzoek worden gedaan naar het mogelijke gebruik van proxyservers of een ander mechanisme.
Cisco CallManager/toepassingsservers reinigen

Tip: Gebruikers met Call Managers en Call Manager-toepassingsservers in hun netwerken moeten het volgende doen om de verspreiding van het virus te stoppen. Ze mogen niet doorbladeren naar geïnfecteerde machine van de Call Manager en ze mogen ook geen stations delen op de Call Manager server. Volg de instructies in Schoonmaken Nimda Virus van Cisco CallManager 3.x en CallManager Toepassingsservers voor het reinigen van het Nimda-virus.
Filter het Nimda Virus op de CSS 11000

Tip: Gebruikers met CSS 11000 moeten de instructies volgen die worden gegeven in Filtering van het Nimda-virus op CSS 11000 voor het reinigen van het NIMDA-virus.
Cisco Secure Inbraakdetectiesysteem (UCS IDS) - respons op het Nimda-virus

Tip: de CS IDS heeft twee verschillende componenten beschikbaar. Een daarvan is de op host gebaseerde IDS (HIDS) die een hostsensor heeft en de op netwerk gebaseerde IDS (NIDS) die een netwerksensor heeft, die beide op een andere manier reageren op het Nimda-virus. Raadpleeg voor een gedetailleerdere uitleg en de aanbevolen actie Hoe Cisco Secure IDS op het Nimda-virus reageert.