|
|
预防“冲击波(Blaster)”(W32.Blaster.Worm)蠕虫的首要措施是必须保护所有受感染的计
算机并给安装补丁程序。了解“冲击波”蠕虫简介。“冲击波”蠕虫利用了微软安全公告(
Microsoft Security Bulletin MS03-026)中所提到的安全漏洞。
下面的信息解释了如何使用Microsoft Internet Security and Acceleration (ISA) Serve
r 2000来帮助阻止由“冲击波”及其变种所造成的恶意通信流量,并尽可能地保护内部网络
上的计算机免受外部的攻击。以缓存模式运行ISA Server的服务器没有针对“冲击波”的任
何保护措施,从而很容易受到这个蠕虫的攻击。
本文的第一部分包含了有关“冲击波”蠕虫的技术细节:
受感染的端口
此外,本文详细描述了ISA Server 可以减轻“冲击波”蠕虫攻击的三种场景:
利用ISA Server保护内部网络免受外部攻击
通过ISA Server帮助阻止外发“冲击波”蠕虫攻击
保护ISA Server计算机免受“冲击波”蠕虫攻击
本文还将讨论:
如何确保正确配置ISA Server
放弃权利声明
微软公司对文中的信息不做任何担保。对于文中信息之外的或使用或传播这些信息所引起的
任何损失,微软公司对不负责。这些信息的使用所引起的任何风险由用户自己承担。
受感染的端口
表 1列出了已知的由“冲击波”蠕虫及其变种所使用的端口,及其可能会使用的MS03-026
中的RPC漏洞。你至少要封锁 “冲击波”蠕虫使用的这些端口。此外,你应当考虑封锁表1
中列出的其他端口。这些数据是2003年8月15日9:00A.M.时的数据;请访问PSS安全响应组
警报-新蠕虫:W32.Blaster.worm获得最新信息。
# Port Number IP Protocol Known to Be Used by Blaster?
1 135 TCP Yes
2 139 TCP
3 445 TCP
4 593 TCP
5 3333 TCP Yes
6 4444 UDP Yes
7 69 UDP Yes
8 135 UDP
9 137 UDP
10 138 UDP
使用ISA Server保护内部网络免受外部攻击
默认情况下,在防火墙或集成模式下运行的ISA Server的服务器,可以通过在这些端口上阻
止外部攻击来有效地保护服务器免受“冲击波”蠕虫攻击。
由运行ISA Server的服务器提供保护的网络容易受到攻击,因此需要编制一些具体的规则来
允许这些端口上的网络通信量。
启用Internet protocol (IP)数据包过滤。
注意: 还没有启用IP数据包过滤的客户应仔细阅读本页面中的数据包过滤部分。
编制服务器发布规则时,使用预定义的RPC(remote procedure call,RPC)协议定义。使
用“Any RPC Server”或“Exchange RPC”运行ISA Server的服务器,除了保护内部服务器
免受“冲击波”蠕虫攻击的情况下,将允许进行正常操作。
注意: 要了解具体的指示说明,请阅读本页面中的服务器发布规则部分。
警告:不用使用表1中列出的端口创建服务器发布规则。
通过ISA Server帮助阻止外发“冲击波”蠕虫攻击
在防火墙或集成模式下,默认的ISA Server安装可以阻止(通过普通文件传输协议(Trivia
l File Transfer Protocol,TFTP))“冲击波”蠕虫向外部网络传播。但是,如果你的IS
A Server对外发通信配置为“allow all”策略,那么必须创建协议规则在“冲击波”蠕虫
已知端口上阻止其传播。
要通过ISA Server帮助阻止外敷攻击,应:
创建协议规则,阻止表1中所列端口上的通信。
注意:还没有阻止这些通信的客户应阅读本页面上的封锁外发通信进程部分。封锁135端口T
CP外发将阻止外发的RPC通信通过ISA Server。
如果在自己的环境中正在使用防火墙客户端(Firewall Client),则需要对恶意的“冲击
波”处理禁用防火墙客户端。如果所有的外发访问经过了验证,这将会禁止“冲击波”蠕虫
作为防火墙客户端通过ISA Server。
注意:要了解具体的指示说明,请阅读本页面中的服务器发布规则部分。
警告:要了解具体的指示说明,请阅读本页面中的禁用恶意“冲击波”蠕虫代码部分。
保护ISA Server计算机免受“冲击波”蠕虫攻击
如果“冲击波”蠕虫攻击来自ISA本地地址表(LAT)中的某台计算机,那么安装了ISA Serv
er的计算机很容易受到攻击。如果存在允许在135 TCP端口接受外来通信的IP数据包过滤器
,则它很容易受到攻击。
警告: 要帮助ISA Server计算机本身免受“冲击波”蠕虫攻击,则不能创建允许在135 TCP
端口上接受外来通信的IP数据包过滤器。。
如何确保正确配置ISA Server
要启用IP数据包过滤,则可以:
在 ISA Management中,展开Servers and Arrays, <ISA name Server>, Access Pol
icy。
使用鼠标右键点击IP Packet Filters,然后选择Properties。
选中Enable Packet Filtering框。
单击OK。
要检验没有服务器发布规则使用用户自定义的135端口协议定义,则可以:
在 ISA Management中,展开Servers and Arrays, <ISA name Server>, Policy Ele
ments.
单击 Protocol Definitions。
在右侧窗格中,单击Port Number栏标题按端口号排序。
记录下端口号为135、Defined By 栏中为“User”的所有协议定义的名称。
在左侧窗格中,展开Publishing。
单击Server Publishing Rules。
检查所有的服务器发布规则。如果在Protocol 栏中有与第4步中记录的协议定义的名称匹配
,那么这个服务器发布规则必须禁用或删除。对于RPC,则使用ISA Server默认协议。
如果对于外发通信正在使用“allow all”策略,则需要对表1中所列出的所有端口创建协议
定义,除6号(这个已存在的定义用于69 UDP端口,称为TFTP)外。你应当为封锁的每一个端
口创建一个协议定义,其中:
<port number> 为表1第二列中的端口号
<IP protocol> 为TCP或UDP
要阻止表1中所列的已知的“冲击波”蠕虫端口上的外发通信,则可以:
在 ISA Management中,扩展Servers and Arrays, <ISA name Server>, Policy Ele
ments。
使用鼠标右键点击Protocol Definitions,指向New,然后单击Definition。
在Protocol Definition Name对话框中键入 Blaster (<port number>, <ip prot
ocol>),然后单击Next。
在Port Number 对话框中键入。
在Protocol Type下拉列表中选择。
从Direction对话框中选择Outbound。
单击 Next。
从Do you want to use secondary connections选项中选择No,然后单击Next。
单击Finish。
要阻止已知的“冲击波”端口上的通信,则可以:
在左侧窗格中,展开Access Policy。
使用鼠标右键点击Protocol Rules,指向New,然后单击Rule。
在Protocol Rule Definition Name对话框中键入Block W32.Blaster.worm,然后单击Next
。
从Response to client requests to use this protocol选项中选择Deny。
从Apply this rule下拉列表中选择Selected protocols。
在Protocols中,选中步骤1-9和TFTP中新创建的协议定义的复选框。
单击 Next。
从Use this schedule下拉列表中选择Always,然后单击Next。
这里已知的恶意的“冲击波”进程为msblast,penis32和 teekids。必须为每一个进程创建
一个防火墙客户端规则。
要对恶意的“冲击波”进程禁用防火墙客户端,则可以:
在 ISA Management中,展开Servers and Arrays, <ISA name Server>。
单击 Client Configuration。
在右侧窗格中,使用鼠标右键单击Firewall Client,然后单击Properties。
单击Application Settings选项卡。
单击New。
在Application对话框中键入msblast。
从Key下拉列表中选择Disable。
从Value下拉列表中选择1。
重复步骤6-8两次,将msblast替换为其他的进程名称。
单击OK。
单击OK。
对于msblast.exe禁用防火墙客户端,只能阻止恶意的进程在受感染的LAT主机上充当防火墙
客户端。如果该主机还被配置为SecureNAT客户端,则这种设置不起作用。 (要阻止SecureN
AT客户端通过ISA Server访问,则需要确保没有匿名的站点、内容或协议规则。)
|
|