Научитесь блокировать Blaster при помощи ISA Server! :: В помощь системному администратору

Научитесь блокировать трафик червя Blaster при помощи Вашего ISA Server
Содержание обновлено: 15 августа, 2003

Обратите внимание: Данный документ был впервые издан 13 августа. Эта страница - вторая версия, выпущенная 15 августа 2003 в 9:00 A.M. (Pacific Time). Во второй версии добавлен раздел о дополнительных TCP/UDP портах, которые должны быть закрыты.
Первые действия должны быть предприняты по защите от W32.Blaster.Worm (Blaster) всех компьютеров, на которые потенциально направлено действие червя. Узнайте то, что Вы должны знать о саморазмножающемся вирусе Blaster. Blaster эксплуатирует уязвимость, которая описана в Microsoft Security Bulletin MS03-026.

Следующая информация поясняет, как использовать Microsoft Internet Security and Acceleration (ISA) Server 2000, чтобы помочь предотвратить злонамеренный трафик, созданный Blaster и его вариантами, и, возможно, защитить компьютеры во внутренних сетях от дополнительной инфекции. Серверы ISA Server, работающие в режиме кэша (cache mode) не имеют никакой защиты против Blaster и сами подвержены атаке этим саморазмножающимся вирусом.
Первый раздел этой статьи содержит технические подробности о Blaster:

Используемые Порты
Кроме того, эта статья детализирует три сценария, где ISA Server может смягчить нападение Blaster:

Защита внутренних сетей от внешнего нападения при помощи ISA Server

Предотвращение исходящих атак червя Blaster через ISA Server

Защита компьютера с ISA Server от нападений Blaster
Эта статья также обсуждает:

Как удостовериться, что ISA Server правильно сконфигурирован

Оговорка
Microsoft не дает никаких гарантий по этой информации. Ни в коем случае Microsoft не будет ответственной за любые убытки при использовании или распространении этой информации. Любое использование этой информации - на собственный страх и риск пользователя.

Используемые Порты
В Таблице 1 перечислены известные порты, использующиеся червем Blaster и его вариантами с потенциальной направленностью на уязвимость RPC, описанную в MS03-026. По минимуму, Вы должны блокировать указанные порты, используемые Blaster. Дополнительно, Вы должны серьезно продумать блокирование других портов, перечисленных в Таблице 1. Эти данные актуальны на 9:00 утра 15 августа 2003; посетите страницу PSS Security Response Team Alert-New Worm: W32.Blaster.worm для получения последней информации.

Таблица 1

#	Port Number	IP Protocol	Известно, что используется червем Blaster?
1	135	TCP	Yes
2	139	TCP
3	445	TCP
4	593	TCP
5	3333	TCP	Yes
6	4444	TCP	Yes
7	69	UDP	Yes
8	135	UDP
9	137	UDP
10	138	UDP

Защита Внутренних Сетей от Внешнего Нападения При Помощи ISA Server
По умолчанию серверы с установленным ISA Server в режимах firewall или integrated эффективно помогают защитить сеть от червя Blaster блокируя внешние нападения на используемые им порты.
Для проникновения червя в сеть, защищенную сервером с установленным ISA Server, нужно написать определенные правила, чтобы разрешить трафик на этих портах.

ВКЛЮЧИТЕ Internet protocol (IP) packet filtering.
Примечание: тем, кто не использовал (IP) packet filtering, рекомендуется изучить раздел по фильтрованию пакетов.
ИСПОЛЬЗУЙТЕ предопределенные Protocol definitions для протокола Remote Procedure Call (RPC) при написании правил опубликования (server publishing rules). Серверы с установленным ISA Server использующие "Любой Сервер RPC" или "Exchange RPC" будут нормально функционировать в дополнение к защите внутренних серверов от червя.
Примечание: инструкции по тому, как это сделать вы найдете в разделе server publishing rules.
Предупреждение: не создавайте правила опубликования (server publishing rules), которые будут использовать порты, перечисленные в Таблице 1.

Предотвращение исходящих атак червя Blaster через ISA Server
При установке по умолчанию ISA Server в режимах firewall или integrated предотвращает распространение Blaster во внешние сети (через Тривиальный Протокол передачи файлов или TFTP). Однако, если ваш ISA Server сконфигурирован с политикой "allow all" для исходящего трафика, Вы должны создать правила протоколов по блокированию Blaster на его известных портах.
Как предотвращать исходящие атаки через ISA Server:

СОЗДАЙТЕ правила протоколов (protocol rules), которые блокируют трафик на всех портах, перечисленных в Таблице 1.
Примечание: тем, кто не блокировал этот трафик, рекомендуется ознакомиться процедурой блокировки исходящего трафика на этой странице. Блокирование порта 135 TCP для исходящего трафика будет препятствовать исходящему трафику RPC при работе через ISA Server.
ОТКЛЮЧИТЕ Firewall Client для избежания злонамеренных действий червя Blaster, если Firewall Client используется в вашей среде. Если весь исходящий доступ авторизован, это будет препятствовать саморазмножающемуся вирусу действовать как Firewall Client через ISA Server.
Примечание: инструкции по тому, как это сделать, вы найдете в разделе по правилам опубликования (server publishing rules) на этой странице.
Предупреждение: инструкции как это сделать находятся в разделе отключение злонамеренных действий червя Blaster на этой странице.

Защита компьютера с ISA Server от нападений Blaster
Компьютер, на котором установлен ISA Server, уязвим к внутреннему нападению саморазмножающимся вирусом Blaster, если нападение происходит с компьютера, который находится в локальной таблице адресов (LAT) на ISA Server. Внешнее нападение возможно, если существует фильтр пакета IP, который разрешает входящий трафик на порту 135 TCP.
Предупреждение: Чтобы защитить непосредственно сам компьютер ISA Server от нападения Blaster, не создавайте фильтр пакета IP, который позволяет входящий трафик на порту 135 TCP.

Как Удостовериться, что ISA Server Правильно Сконфигурирован

Включите фильтрацию IP пакетов:

В ISA Management, разверните Servers and Arrays, <имя ISA Server>, Access Policy.
Щелкните правой кнопкой мыши по IP Packet Filters, выберите Properties.
Проверьте установки Enable Packet Filtering.
Щелкните OK.

Проверьте, что никакие из правил опубликования (server publishing rules) не используют порт 135 в назначаемых пользователем определениях протоколов (protocol definitions):

В ISA Management, разверните Servers and Arrays, <имя ISA Server>, Policy Elements.
Щелкните Protocol Definitions.
В правой области окна, щелкните на заголовок столбца Port Number, чтобы сортировать список по номеру порта.
Запишите названия любых определений протоколов (protocol definitions), которые имеют порт, номер 135 и "User" в столбце Defined By.
В левой области окна, разверните Publishing.
Щелкните Server Publishing Rules.
Исследуйте все правила опубликования (server publishing rules). Если что-нибудь в столбце Protocol соответствует названию определения протокола, которое Вы записали в Шаге 4, тот правило опубликования должно быть заблокировано или удалено. Используйте протоколы заданные в ISA Server по умолчанию для RPC вместо этого.

Если Вы используете политику "allow all" для исходящего трафика, protocol definitions должны быть созданы для всех портов, перечисленных в Таблице 1, за исключением №6 (определение для порта, 69 UDP уже существует и называется TFTP). Вы должны создать protocol definitions для каждого порта, который будет блокирован, где:

<port number> - номер порта из второго столбца Таблицы 1

<IP protocol> является или TCP или UDP
Заблокируйте исходящий трафик на известных портах Blaster, перечисленных в Таблице 1:

В ISA Management, разверните Servers and Arrays, <имя ISA Server>, Policy Elements.
Щелкните правой кнопкой мыши Protocol Definitions, выберите New, и затем щелкните Definition.
Введите "Blaster" (<номер порта>, <ip протокол>) в диалоговом окне Protocol Definition Name и затем щелкните Next.
Введите <номер порта> в диалоговом окне Port Number.
Выберите <protocol type> в раскрывающемся списке Protocol Type.
Выберите Outbound от диалогового окна Direction.
Щелкните Next.
Выберите No в опции "Do you want to use secondary connections?" (Вы хотите использовать вторичные подключения?), и затем щелкните Next.
Щелкните Finish.

Предотвратите трафик на известных портах Blaster:

В левой области окна, разверните Access Policy.
Щелкните правой кнопкой мыши Protocol Rules, выберите New, и затем щелкните Rule.
Введите "Block W32.Blaster.worm" в диалоговом окне Protocol Rule Definition Name и затем щелкните Next.
Выберите Deny в опции "Response to client requests to use this protocol".
Выберите Selected protocols в раскрывающемся списке Apply this rule.
В Protocols, отметьте недавно созданные protocol definitions (Шаги 1-9) и TFTP.
Щелкните Next.
Выберите Always в раскрывающемся списке Use this schedule, и затем щелкните Next.

Злонамеренные процессы червя Blaster, известные в это время - msblast, penis32, и teekids. Правило Firewall Client должно быть создано для каждого этого процесса.
Отключите Firewall Client для злонамеренных процессов Blaster:

В ISA Management, разверните Servers and Arrays, <имя ISA Server>.
Щелкните Client Configuration.
В правой области окна, щелкните правой кнопкой мыши Firewall Client, и выберите Properties.
Щелкните вкладку Application Settings.
Щелкните New.
Введите "msblast" в диалоговом окне Application.
Выберите Disable в раскрывающемся списке Key.
Выберите 1 в раскрывающемся списке Value.
Повторите Шаги 6-8 еще два раза, заменяя msblast другими названиями процессов.
Щелкните OK.
Щелкните OK.

Отключение Firewall Client только для msblast.exe предотвращает злонамеренные процессы на зараженном компьютере в локальной сети от действия как Firewall Client. Если компьютер также сконфигурирован как SecureNAT клиент, то эта установка может не иметь никакого эффекта. (Чтобы предотвратить доступ клиента SecureNAT через ISA Server, удостоверьтесь, что нет никаких правил для anonymous в Site and Content rules и в Protocol rules.)

Оригинал этой статьи:
http://www.microsoft.com/isaserver/techinfo/prevent/blasterworm.asp

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки