Dit document beschrijft manieren om de impact van de Nimda worm op uw netwerk te minimaliseren. Dit document heeft betrekking op twee onderwerpen:
Het netwerk is geïnfecteerd, wat kan er worden gedaan? Hoe kunt u de schade en neerslag minimaliseren?
Het netwerk is nog niet geïnfecteerd of slechts gedeeltelijk geïnfecteerd. Wat kan er worden gedaan om de verspreiding van deze worm te minimaliseren?
Er zijn geen specifieke vereisten van toepassing op dit document.
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Voor achtergrondinformatie over de Nimda-worm raadpleegt u de volgende links:
De in dit document beschreven oplossing voor netwerkgebaseerde toepassingsherkenning (NBAR) vereist de op klasse gebaseerde markering binnen Cisco IOS®-software. Met name de mogelijkheid om te matchen op elk deel van een HTTP URL maakt gebruik van de HTTP-subpoortclassificatie binnen NBAR. De ondersteunde platforms en de minimale Cisco IOS-softwarevereisten worden hieronder samengevat:
Platform | Minimale Cisco IOS-softwareversie |
---|---|
7200 | 12,1(5)T |
7100 | 12,1(5)T |
3660 | 12,1(5)T |
3640 | 12,1(5)T |
3620 | 12,1(5)T |
2600 | 12,1(5)T |
1700 | 12,2(5)T |
N.B.: U moet Cisco Express Forwarding (CEF) inschakelen om Network-Based Application Recognition (NBAR) te kunnen gebruiken.
NBAR wordt ook ondersteund op sommige Cisco IOS-softwareplatforms die beginnen met release 12.1E. Zie "Ondersteunde protocollen" in de netwerkgebaseerde documentatie voor toepassingsherkenning.
Op klasse gebaseerde markering en gedistribueerde NBAR (DNBAR) zijn ook beschikbaar op de volgende platforms:
Platform | Minimale Cisco IOS-softwareversie |
---|---|
7500 | 12.1(6)E |
FlexWAN | 12.1(6)E |
Als u NBAR implementeert, dient u zich bewust te zijn van Cisco bug-id CSCdv06207 (alleen geregistreerde klanten). De tijdelijke oplossing die in CSCdv06207 wordt beschreven, kan nodig zijn als u dit defect ervaart.
De ACL-oplossing (Access Control List) wordt ondersteund in alle huidige releases van Cisco IOS-software.
Voor oplossingen waarbij u de Modular Quality of Service (QoS) opdrachtregelinterface (CLI) moet gebruiken (zoals voor snelheidsbeperkt ARP-verkeer of om snelheidsbeperking met policer in plaats van CAR te implementeren), hebt u de Modular Quality of Service Command-Line Interface nodig die beschikbaar is in Cisco IOS-softwarereleases 12.0XE, 12.1E, 12.1T en alle releases van 12.2.
Voor gebruik van Commited Access Rate (CAR) hebt u Cisco IOS-softwarerelease 11.1CC en alle releases van 12.0 en latere software nodig.
In dit gedeelte worden de besmettingsvectoren beschreven die het Nimda-virus kunnen verspreiden en worden tips gegeven om de verspreiding van het virus terug te dringen:
De worm kan worden verspreid via e-mailbijlagen van het MIME audio/x-wav-type.
Tips:
Voeg regels toe op uw Simple Mail Transfer Protocol (SMTP) server om e-mail te blokkeren die deze bijlagen heeft:
readme.exe
Admin.dll
De worm kan zich verspreiden wanneer u door een geïnfecteerde webserver bladert met Javascript-uitvoering ingeschakeld en met behulp van een versie van Internet Explorer (IE) die kwetsbaar is voor de exploits die in MS01-020 worden besproken (bijvoorbeeld IE 5.0 of IE 5.01 zonder SP2).
Tips:
Gebruik Netscape als uw browser, of schakel Javascript uit op IE, of krijg IE patched naar SP II.
Gebruik Cisco Network-based Application Recognition (NBAR) om te filteren op readme.eml-bestanden die gedownload worden. Hier is een voorbeeld om NBAR te vormen:
Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*readme.eml*"
Zodra u het verkeer hebt aangepast, kunt u ervoor kiezen om te verwijderen of op beleid gebaseerde route het verkeer om geïnfecteerde hosts te controleren. Voorbeelden van de volledige implementatie zijn te vinden in Network-Based Application Recognition and Access Control Lists voor het blokkeren van de "Code Red"-worm.
De worm kan zich van machine tot machine verspreiden in de vorm van IIS-aanvallen (het probeert voornamelijk kwetsbaarheden te exploiteren die zijn ontstaan door de effecten van Code Red II, maar ook kwetsbaarheden die eerder door MS00-078 zijn gepatched ).
Tips:
Gebruik de programma's in het kader van Code Red zoals beschreven in:
Omgaan met mallocfail en hoog CPU-gebruik als gevolg van de "Code Red" Worm
Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*.ida*" Router(config-cmap)#match protocol http url "*cmd.exe*" Router(config-cmap)#match protocol http url "*root.exe*" Router(config-cmap)#match protocol http url "*readme.eml*"
Zodra u het verkeer hebt aangepast, kunt u ervoor kiezen om te verwijderen of op beleid gebaseerde route het verkeer om geïnfecteerde hosts te controleren. Voorbeelden van de volledige implementatie zijn te vinden in Network-Based Application Recognition and Access Control Lists voor het blokkeren van de "Code Red"-worm.
TCP-pakketten met snelheidsbeperking synchroniseren/starten (SYN). Dit beschermt een host niet, maar het maakt het mogelijk dat uw netwerk op een verslechterde manier draait en nog steeds omhoog blijft. Door snelheidsbeperkende SYNs, gooit u pakketten weg die een bepaalde tarief overschrijden, zodat zullen sommige TCP-verbindingen door, maar niet allen krijgen. Zie voor configuratievoorbeelden de sectie "Snelheidsbeperking voor TCP/SYN-pakketten" van CAR gebruiken tijdens DOS-aanvallen.
Overweeg verkeer met ARP-verkeer (Rate-Limit Address Resolution Protocol) als de hoeveelheid ARP-scans problemen in het netwerk veroorzaakt. Om ARP verkeer te tarief-beperken, vorm het volgende:
class-map match-any arp match protocol arp ! ! policy-map ratelimitarp class arp police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
Dit beleid moet vervolgens als uitvoerbeleid op de desbetreffende LAN-interface worden toegepast. Pas de cijfers aan zoals van toepassing om rekening te houden met het aantal ARP's per seconde dat u op het netwerk wilt toestaan.
De worm kan zich verspreiden door een .eml of .nws in Explorer te markeren met actieve desktop ingeschakeld (standaard W2K/ME/W98). Dit zorgt ervoor dat THUMBVW.DLL het bestand uitvoert en probeert het bestand README.EML te downloaden waarnaar in het wordt verwezen (afhankelijk van uw IE-versie en zone instellingen).
Tip: Zoals hierboven aanbevolen, gebruik NBAR om readme.eml te filteren van het downloaden.
De worm kan zich verspreiden door in kaart gebrachte schijven. Elke geïnfecteerde machine die netwerkdrives heeft toegewezen zal waarschijnlijk alle bestanden op de in kaart gebrachte drive en zijn submappen infecteren
Tips:
Blokkeer Trivial File Transfer Protocol (TFTP) (poort 69) zodat geïnfecteerde machines geen TFTP kunnen gebruiken om bestanden naar niet-geïnfecteerde hosts over te brengen. Zorg ervoor dat de toegang van TFTP voor routers nog beschikbaar is (aangezien u de weg kunt nodig hebben om code te bevorderen). Als op de router Cisco IOS-softwareversie 12.0 of hoger wordt uitgevoerd, hebt u altijd de mogelijkheid om afbeeldingen met behulp van File Transfer Protocol (FTP) over te dragen naar routers waarop Cisco IOS-software wordt uitgevoerd.
Blokkeer NetBIOS. NetBIOS zou geen Local Area Network (LAN) moeten verlaten. Serviceproviders moeten NetBIOS uitfilteren door poorten 137, 138, 139 en 445 te blokkeren.
De worm maakt gebruik van zijn eigen SMTP-engine om e-mails te versturen om andere systemen te infecteren.
Tip: Blokkeer poort 25 (SMTP) aan de binnenkant van uw netwerk. Gebruikers die hun e-mail ophalen met Post Office Protocol (POP) 3 (poort 110) of Internet Mail Access Protocol (IMAP) (poort 143) hebben geen toegang tot poort 25 nodig. Laat poort 25 alleen open tegenover de SMTP-server voor het netwerk. Dit is mogelijk niet haalbaar voor gebruikers die Eudora, Netscape en Outlook Express gebruiken, onder andere, omdat ze hun eigen SMTP-engine hebben en uitgaande verbindingen zullen genereren met behulp van poort 25. Er moet misschien wat onderzoek worden gedaan naar het mogelijke gebruik van proxyservers of een ander mechanisme.
Cisco CallManager/toepassingsservers reinigen
Tip: Gebruikers met Call Managers en Call Manager-toepassingsservers in hun netwerken moeten het volgende doen om de verspreiding van het virus te stoppen. Ze mogen niet doorbladeren naar geïnfecteerde machine van de Call Manager en ze mogen ook geen stations delen op de Call Manager server. Volg de instructies in Schoonmaken Nimda Virus van Cisco CallManager 3.x en CallManager Toepassingsservers voor het reinigen van het Nimda-virus.
Filter het Nimda Virus op de CSS 11000
Tip: Gebruikers met CSS 11000 moeten de instructies volgen die worden gegeven in Filtering van het Nimda-virus op CSS 11000 voor het reinigen van het NIMDA-virus.
Cisco Secure Inbraakdetectiesysteem (UCS IDS) - respons op het Nimda-virus
Tip: de CS IDS heeft twee verschillende componenten beschikbaar. Een daarvan is de op host gebaseerde IDS (HIDS) die een hostsensor heeft en de op netwerk gebaseerde IDS (NIDS) die een netwerksensor heeft, die beide op een andere manier reageren op het Nimda-virus. Raadpleeg voor een gedetailleerdere uitleg en de aanbevolen actie Hoe Cisco Secure IDS op het Nimda-virus reageert.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
24-Sep-2001 |
Eerste vrijgave |