枫林在线精华区>>信息安全>>防范技术
[102956] 主题: ISA Server如何帮助阻止“冲击波”通信量
作者: leaflet (Leaf)
标题: ISA Server如何帮助阻止“冲击波”通信量[转载]
来自: 218.78.*.*
发贴时间: 2003年09月20日 20:48:19
长度: 6306字
预防“冲击波(Blaster)”(W32.Blaster.Worm)蠕虫的首要措施是必须保护所有受感染
的计算机并给安装补丁程序。了解“冲击波”蠕虫简介。“冲击波”蠕虫利用了微软安
全公告(Microsoft Security Bulletin MS03-026)中所提到的安全漏洞。

下面的信息解释了如何使用Microsoft Internet Security and Acceleration (ISA) Server 2
000来帮助阻止由“冲击波”及其变种所造成的恶意通信流量,并尽可能地保护内部网
络上的计算机免受外部的攻击。以缓存模式运行ISA Server的服务器没有针对“冲击波
”的任何保护措施,从而很容易受到这个蠕虫的攻击。

本文的第一部分包含了有关“冲击波”蠕虫的技术细节:

受感染的端口
此外,本文详细描述了ISA Server 可以减轻“冲击波”蠕虫攻击的三种场景:
利用ISA Server保护内部网络免受外部攻击
通过ISA Server帮助阻止外发“冲击波”蠕虫攻击
保护ISA Server计算机免受“冲击波”蠕虫攻击
本文还将讨论:
如何确保正确配置ISA Server
放弃权利声明

微软公司对文中的信息不做任何担保。对于文中信息之外的或使用或传播这些信息所引
起的任何损失,微软公司对不负责。这些信息的使用所引起的任何风险由用户自己承担


受感染的端口

表 1列出了已知的由“冲击波”蠕虫及其变种所使用的端口,及其可能会使用的MS03-0
26中的RPC漏洞。你至少要封锁 “冲击波”蠕虫使用的这些端口。此外,你应当考虑封
锁表1中列出的其他端口。这些数据是2003年8月15日9:00A.M.时的数据;请访问PSS安
全响应组警报-新蠕虫:W32.Blaster.worm获得最新信息。

# Port Number IP Protocol Known to Be Used by Blaster?
1 135 TCP Yes
2 139 TCP  
3 445 TCP  
4 593 TCP  
5 3333 TCP Yes
6 4444 UDP Yes
7 69 UDP Yes
8 135 UDP  
9 137 UDP  
10 138 UDP  


使用ISA Server保护内部网络免受外部攻击

默认情况下,在防火墙或集成模式下运行的ISA Server的服务器,可以通过在这些端口
上阻止外部攻击来有效地保护服务器免受“冲击波”蠕虫攻击。

由运行ISA Server的服务器提供保护的网络容易受到攻击,因此需要编制一些具体的规
则来允许这些端口上的网络通信量。

启用Internet protocol (IP)数据包过滤。
注意: 还没有启用IP数据包过滤的客户应仔细阅读本页面中的数据包过滤部分。
编制服务器发布规则时,使用预定义的RPC(remote procedure call,RPC)协议定义。
使用“Any RPC Server”或“Exchange RPC”运行ISA Server的服务器,除了保护内部服务
器免受“冲击波”蠕虫攻击的情况下,将允许进行正常操作。
注意: 要了解具体的指示说明,请阅读本页面中的服务器发布规则部分。
警告:不用使用表1中列出的端口创建服务器发布规则。
通过ISA Server帮助阻止外发“冲击波”蠕虫攻击

在防火墙或集成模式下,默认的ISA Server安装可以阻止(通过普通文件传输协议(Tri
vial File Transfer Protocol,TFTP))“冲击波”蠕虫向外部网络传播。但是,如果你
的ISA Server对外发通信配置为“allow all”策略,那么必须创建协议规则在“冲击波
”蠕虫已知端口上阻止其传播。

要通过ISA Server帮助阻止外敷攻击,应:

创建协议规则,阻止表1中所列端口上的通信。
注意:还没有阻止这些通信的客户应阅读本页面上的封锁外发通信进程部分。封锁135
端口TCP外发将阻止外发的RPC通信通过ISA Server。
如果在自己的环境中正在使用防火墙客户端(Firewall Client),则需要对恶意的“冲
击波”处理禁用防火墙客户端。如果所有的外发访问经过了验证,这将会禁止“冲击波
”蠕虫作为防火墙客户端通过ISA Server。
注意:要了解具体的指示说明,请阅读本页面中的服务器发布规则部分。
警告:要了解具体的指示说明,请阅读本页面中的禁用恶意“冲击波”蠕虫代码部分。
 
保护ISA Server计算机免受“冲击波”蠕虫攻击

如果“冲击波”蠕虫攻击来自ISA本地地址表(LAT)中的某台计算机,那么安装了ISA S
erver的计算机很容易受到攻击。如果存在允许在135 TCP端口接受外来通信的IP数据包
过滤器,则它很容易受到攻击。

警告: 要帮助ISA Server计算机本身免受“冲击波”蠕虫攻击,则不能创建允许在135 TC
P端口上接受外来通信的IP数据包过滤器。。
如何确保正确配置ISA Server

要启用IP数据包过滤,则可以:

在 ISA Management中,展开Servers and Arrays, <ISA name Server>, Access Policy。
 
使用鼠标右键点击IP Packet Filters,然后选择Properties。
选中Enable Packet Filtering框。
单击OK。
要检验没有服务器发布规则使用用户自定义的135端口协议定义,则可以:

在 ISA Management中,展开Servers and Arrays, <ISA name Server>, Policy Elements
.
单击 Protocol Definitions。
在右侧窗格中,单击Port Number栏标题按端口号排序。
记录下端口号为135、Defined By 栏中为“User”的所有协议定义的名称。
在左侧窗格中,展开Publishing。
单击Server Publishing Rules。
检查所有的服务器发布规则。如果在Protocol 栏中有与第4步中记录的协议定义的名称
匹配,那么这个服务器发布规则必须禁用或删除。对于RPC,则使用ISA Server默认协议

如果对于外发通信正在使用“allow all”策略,则需要对表1中所列出的所有端口创建
协议定义,除6号(这个已存在的定义用于69 UDP端口,称为TFTP)外。你应当为封锁的每
一个端口创建一个协议定义,其中:

<port number> 为表1第二列中的端口号
<IP protocol> 为TCP或UDP
要阻止表1中所列的已知的“冲击波”蠕虫端口上的外发通信,则可以:

在 ISA Management中,扩展Servers and Arrays, <ISA name Server>, Policy Elements

使用鼠标右键点击Protocol Definitions,指向New,然后单击Definition。
在Protocol Definition Name对话框中键入 Blaster (<port number>, <ip protoco
l>),然后单击Next。
在Port Number 对话框中键入。
在Protocol Type下拉列表中选择。
从Direction对话框中选择Outbound。
单击 Next。
从Do you want to use secondary connections选项中选择No,然后单击Next。
单击Finish。
要阻止已知的“冲击波”端口上的通信,则可以:

在左侧窗格中,展开Access Policy。
使用鼠标右键点击Protocol Rules,指向New,然后单击Rule。
在Protocol Rule Definition Name对话框中键入Block W32.Blaster.worm,然后单击Next

从Response to client requests to use this protocol选项中选择Deny。
从Apply this rule下拉列表中选择Selected protocols。
在Protocols中,选中步骤1-9和TFTP中新创建的协议定义的复选框。
单击 Next。
从Use this schedule下拉列表中选择Always,然后单击Next。
这里已知的恶意的“冲击波”进程为msblast,penis32和 teekids。必须为每一个进程
创建一个防火墙客户端规则。

要对恶意的“冲击波”进程禁用防火墙客户端,则可以:

在 ISA Management中,展开Servers and Arrays, <ISA name Server>。
单击 Client Configuration。
在右侧窗格中,使用鼠标右键单击Firewall Client,然后单击Properties。
单击Application Settings选项卡。
单击New。
在Application对话框中键入msblast。
从Key下拉列表中选择Disable。
从Value下拉列表中选择1。
重复步骤6-8两次,将msblast替换为其他的进程名称。
单击OK。
单击OK。
对于msblast.exe禁用防火墙客户端,只能阻止恶意的进程在受感染的LAT主机上充当防
火墙客户端。如果该主机还被配置为SecureNAT客户端,则这种设置不起作用。 (要阻止
SecureNAT客户端通过ISA Server访问,则需要确保没有匿名的站点、内容或协议规则。
)


========== * * * * * ==========
上级目录
Copyright © 2001-2025 枫林在线(www.FengLin.info)
All Rights Reserved