この文書では、ネットワークに対する Nimda ワームの影響を最小にする方法を説明し、次の 2 つのトピックを扱います。
ネットワークが感染している。何を実行できるか。被害と影響を最小限に抑える方法。
ネットワークはまだ感染していないか、または一部のみ感染している。このワームの拡散を最小にするために何ができるか
このドキュメントに関する固有の要件はありません。
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
Nimda ワームの背景情報については、次のリンクを参照してください。
この文書に記載されている Network-Based Application Recognition(NBAR)ソリューションには、Cisco IOS® ソフトウェアのクラスベース マーキング機能が必要です。特に、マッチング機能では、NBAR 内の HTTP サブポートクラシフィケーション機能を使用します。サポートされているプラットフォームおよび IOS ソフトウェア最低必要条件を次に要約します。
Platform | Cisco IOS ソフトウェアの最低バージョン |
---|---|
7200 | 12.1(5)T |
7100 | 12.1(5)T |
3660 | 12.1(5)T |
3640 | 12.1(5)T |
3620 | 12.1(5)T |
2600 | 12.1(5)T |
1700 | 12.2(5)T |
注:Network-Based Application Recognition(NBAR)を使用するには、Cisco Express Forwarding(CEF)を有効にする必要があります。
NBAR はリリース 12.1E 以降の一部の Cisco IOS ソフトウェアのプラットフォームでもサポートされています。Network-Based Application Recognition のドキュメントの「サポート対象プロトコル」を参照してください。
クラスベース マーキングおよび Distributed NBAR(DNBAR)は次のプラットフォームでも使用できます。
Platform | Cisco IOS ソフトウェアの最低バージョン |
---|---|
7500 | 12.1(6)E |
FlexWAN | 12.1(6)E |
NBAR を導入する場合は、Cisco Bug ID CSCdv06207(登録ユーザ専用)に注意してください。CSCdv06207 に記述されている回避策は、この障害に遭遇した場合に必要になる場合があります。
Cisco IOS ソフトウェアのすべての現行リリースで、Access Control List(ACL; アクセス コントロール リスト)ソリューションがサポートされています。
モジュラー Quality of Service(QoS)コマンドライン インターフェイス(CLI)を使用する必要があるソリューションの場合は(レート制限 ARP トラフィックの場合または CAR の代わりにポリサーでレート制限を実現する場合など)、Cisco IOS ソフトウェア リリース 12.0XE、12.1E、12.1T、および 12.2 のすべてのリリースで使用できるモジュラー Quality of Service コマンド行インターフェイスが必要です。
専用アクセス レート(CAR)の使用には、Cisco IOS ソフトウェア リリース 11.1CC および 12.0 以降のソフトウェアのすべてのリリースが必要です。
このセクションでは、Nimda ウィルスを広める可能性がある感染媒体について概説し、ウィルスの拡散を減らすヒントを示します。
このワームは、MIME audio/x-wav タイプの E メール添付ファイルによって広がる可能性があります。
ヒント:
次の添付ファイルがある電子メールをブロックするルールを Simple Mail Transfer Protocol(SMTP)サーバに追加します。
readme.exe
Admin.dll
このワームは、MS01-020で説明されている悪用に対して脆弱なバージョンのInternet Explorer(IE)を使用し、Javascriptを有効にして感染したWebサーバ(たとえば、IE 5.0やSP2を使用しないIE 5.01)を参照すると広がる可能性があります。
ヒント:
ブラウザとして Netscape を使用するか、IE で Javascript を無効にするか、または IE に SP2 パッチを適用します。
シスコ NBAR を使って、readme.eml ファイルがダウンロードされるのを防ぎます。NBAR を設定する例を次に示します。
Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*readme.eml*"
トラフィックのマッチングを行った後、トラフィックを破棄するか、ポリシーベースのルーティングで感染したホストを監視できます。完全な実装例は、『"Code Red" ワームをブロックするための Network-Based Application Recognition およびアクセス コントロール リストの使用方法』にあります。
このワームは、IIS攻撃としてマシン間で広がる可能性があります(主に、Code Red IIの影響で作成された脆弱性を悪用しようとする攻撃ですが、MS00-078 によってパッチが適用されていた脆弱性も悪用しようとします)。
ヒント:
次の文書に記述された Code Red 対策方式を使用します。
"Code Red " に起因する mallocfail と 高 CPU 利用率への対処法
"Code Red" ワームをブロックするための Network-Based Application Recognition およびアクセス コントロール リストの使用方法
Router(config)#class-map match-any http-hacks Router(config-cmap)#match protocol http url "*.ida*" Router(config-cmap)#match protocol http url "*cmd.exe*" Router(config-cmap)#match protocol http url "*root.exe*" Router(config-cmap)#match protocol http url "*readme.eml*"
トラフィックのマッチングを行った後、トラフィックを破棄するか、ポリシーベースのルーティングで感染したホストを監視できます。完全な実装例は、『"Code Red" ワームをブロックするための Network-Based Application Recognition およびアクセス コントロール リストの使用方法』にあります。
TCP synchronize/start(SYN)パケットをレート制限します。これによってホストは保護されませんが、パフォーマンスを下げてネットワークを実行し続けることができます。レート制限 SYN では、一定のレートを超過するパケットを破棄するため、一部の TCP 接続は通過しますが、すべてではありません。設定例については、『DOS 攻撃時の CAR の使用』の「レートリミット TCP Syn パケット」の項を参照してください。
ARP スキャンの量が原因でネットワーク上で問題を起こる場合、レート制限 Address Resolution Protocol(ARP)のトラフィックを考慮します。ARP トラフィックのレート制限を行うには、次のように設定します。
class-map match-any arp match protocol arp ! ! policy-map ratelimitarp class arp police 8000 1500 1500 conform-action transmit exceed-action drop violate-action drop
この後、このポリシーを該当 LAN インターフェイスに出力ポリシーとして適用する必要があります。ネットワークで許可する 1 秒あたりの ARP の数を考慮して適切な数に変更します。
ワームは、Active Desktop を有効にした状態で(W2K/ME/W98 デフォルト)Explorer 内で eml または .nws をハイライトさせることによって広がる可能性があります。これにより、THUMBVW.DLL がファイルを実行し、その中で参照されている README.EML をダウンロードしようとします(IE バージョンおよびゾーン設定によります)。
ヒント:上記の推奨事項に従って、NBARを使用してreadme.emlのダウンロードをフィルタリングします。
ワームはマップされたドライブによって広がる可能性があります。マップ済みのネットワーク ドライブを持つ感染したマシンはすべて、マップされたドライブとサブディレクトリ上のファイルをすべて感染させる可能性があります。
ヒント:
感染したコンピュータが TFTP を使用して感染していないホストにファイルを転送できないように、Trivial File Transfer Protocol(TFTP)(ポート 69)をブロックします。ルータの TFTP アクセスは引き続き使用可能にします(コードをアップグレードするための経路が必要になる場合があるため)。ルータが Cisco IOS ソフトウェア バージョン 12.0 以降を実行している場合、Cisco IOS ソフトウェアを実行しているルータにイメージを転送するために、File Transfer Protocol(FTP)を使用する選択肢が常にあります。
NetBIOS をブロックします。NetBIOS はローカル エリア ネットワーク(LAN)に残す必要はありません。サービス プロバイダは、ポート 137、138、139、および 445 をブロックすることで、NetBIOS をフィルタに掛ける必要があります。
ワームは、独自の SMTP エンジンを使って、他のシステムを感染させるために E メールを送ります。
ヒント:ネットワークの内側部分のポート25(SMTP)をブロックします。Post Office Protocol(POP)3(ポート 110)または Internet Mail Access Protocol(IMAP)(ポート 143)を使用して電子メールを取得しているユーザは、ポート 25 にアクセスする必要はありません。ネットワークの SMTP サーバに対してだけ、ポート 25 をオープンにしておきます。Eudora、Netscape、および Outlook Express を使用しているユーザでは、独自の SMTP エンジンが用意され、ポート 25 を使用した発信接続が生成されるため、これを実行できない場合があります。プロキシ サーバやその他のメカニズムの使用については、さらに検討が必要な場合があります。
Cisco CallManager/Applications サーバをクリーニングします。
ヒント:ネットワーク内にCall ManagerとCall Managerアプリケーションサーバを持つユーザは、ウイルスの拡散を防ぐために次の操作を行う必要があります。感染しているマシンを Call Manager からブラウズすること、および、Call Manager サーバ上のいずれかのドライブを共有することは厳禁です。Nimda ウイルスを除去するには、『Cisco CallManager 3.x および CallManager Applications サーバからの Nimda ウィルスの除去』に示されている指示に従います。
CSS 11000 で Nimda ウィルスをフィルタ処理します。
ヒント: CSS 11000のユーザは、NIMDAウイルスを除去するために、『CSS 11000でのNimdaウイルスのフィルタリング』に示されている指示に従う必要があります。
Nimda ウイルスに対する Cisco Secure Intrusion Detection System(CS IDS)の対応
ヒント:CS IDSには2つの異なるコンポーネントがあります。1 つはホスト センサーを備えたホストベースの IDS(HIDS)で、もう 1 つはネットワーク センサーを備えたネットワークベースの IDS(NIDS)です。どちらも Nimda ウィルスに対して異なる方法で対応します。詳細な説明と推奨される対処法については、『Cisco Secure IDS の Nimda ウィルスへの対応』を参照してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
24-Sep-2001 |
初版 |