枫林在线论坛精华区>>信息安全
[102956] 主题: ISA Server如何帮助阻止“冲击波”通信量
作者: leaflet (Leaf)
标题: ISA Server如何帮助阻止“冲击波”通信量[转载]
来自: 218.78.*.*
发贴时间: 2003年09月20日 20:48:19
长度: 6364字
预防“冲击波(Blaster)”(W32.Blaster.Worm)蠕虫的首要措施是必须保护
所有受感染的计算机并给安装补丁程序。了解“冲击波”蠕虫简介。“冲
击波”蠕虫利用了微软安全公告(Microsoft Security Bulletin MS03-0
26)中所提到的安全漏洞。 

下面的信息解释了如何使用Microsoft Internet Security and Accelera
tion (ISA) Server 2000来帮助阻止由“冲击波”及其变种所造成的恶意
通信流量,并尽可能地保护内部网络上的计算机免受外部的攻击。以缓存
模式运行ISA Server的服务器没有针对“冲击波”的任何保护措施,从而
很容易受到这个蠕虫的攻击。 

本文的第一部分包含了有关“冲击波”蠕虫的技术细节: 

受感染的端口 
此外,本文详细描述了ISA Server 可以减轻“冲击波”蠕虫攻击的三种场
景: 
利用ISA Server保护内部网络免受外部攻击 
通过ISA Server帮助阻止外发“冲击波”蠕虫攻击 
保护ISA Server计算机免受“冲击波”蠕虫攻击 
本文还将讨论: 
如何确保正确配置ISA Server 
放弃权利声明 

微软公司对文中的信息不做任何担保。对于文中信息之外的或使用或传播
这些信息所引起的任何损失,微软公司对不负责。这些信息的使用所引起
的任何风险由用户自己承担。 

受感染的端口 

表 1列出了已知的由“冲击波”蠕虫及其变种所使用的端口,及其可能会
使用的MS03-026中的RPC漏洞。你至少要封锁 “冲击波”蠕虫使用的这些
端口。此外,你应当考虑封锁表1中列出的其他端口。这些数据是2003年8
月15日9:00A.M.时的数据;请访问PSS安全响应组警报-新蠕虫:W32.Bl
aster.worm获得最新信息。 

# Port Number IP Protocol Known to Be Used by Blaster? 
1 135 TCP Yes 
2 139 TCP   
3 445 TCP   
4 593 TCP   
5 3333 TCP Yes 
6 4444 UDP Yes 
7 69 UDP Yes 
8 135 UDP   
9 137 UDP   
10 138 UDP   


使用ISA Server保护内部网络免受外部攻击 

默认情况下,在防火墙或集成模式下运行的ISA Server的服务器,可以通
过在这些端口上阻止外部攻击来有效地保护服务器免受“冲击波”蠕虫攻
击。 

由运行ISA Server的服务器提供保护的网络容易受到攻击,因此需要编制
一些具体的规则来允许这些端口上的网络通信量。 

启用Internet protocol (IP)数据包过滤。 
注意: 还没有启用IP数据包过滤的客户应仔细阅读本页面中的数据包过滤
部分。 
编制服务器发布规则时,使用预定义的RPC(remote procedure call,RP
C)协议定义。使用“Any RPC Server”或“Exchange RPC”运行ISA Ser
ver的服务器,除了保护内部服务器免受“冲击波”蠕虫攻击的情况下,将
允许进行正常操作。 
注意: 要了解具体的指示说明,请阅读本页面中的服务器发布规则部分。
 
警告:不用使用表1中列出的端口创建服务器发布规则。 
通过ISA Server帮助阻止外发“冲击波”蠕虫攻击 

在防火墙或集成模式下,默认的ISA Server安装可以阻止(通过普通文件
传输协议(Trivial File Transfer Protocol,TFTP))“冲击波”蠕虫
向外部网络传播。但是,如果你的ISA Server对外发通信配置为“allow 
all”策略,那么必须创建协议规则在“冲击波”蠕虫已知端口上阻止其传
播。 

要通过ISA Server帮助阻止外敷攻击,应: 

创建协议规则,阻止表1中所列端口上的通信。 
注意:还没有阻止这些通信的客户应阅读本页面上的封锁外发通信进程部
分。封锁135端口TCP外发将阻止外发的RPC通信通过ISA Server。 
如果在自己的环境中正在使用防火墙客户端(Firewall Client),则需要
对恶意的“冲击波”处理禁用防火墙客户端。如果所有的外发访问经过了
验证,这将会禁止“冲击波”蠕虫作为防火墙客户端通过ISA Server。 

注意:要了解具体的指示说明,请阅读本页面中的服务器发布规则部分。
 
警告:要了解具体的指示说明,请阅读本页面中的禁用恶意“冲击波”蠕
虫代码部分。 
保护ISA Server计算机免受“冲击波”蠕虫攻击 

如果“冲击波”蠕虫攻击来自ISA本地地址表(LAT)中的某台计算机,那
么安装了ISA Server的计算机很容易受到攻击。如果存在允许在135 TCP端
口接受外来通信的IP数据包过滤器,则它很容易受到攻击。 

警告: 要帮助ISA Server计算机本身免受“冲击波”蠕虫攻击,则不能创
建允许在135 TCP端口上接受外来通信的IP数据包过滤器。。 
如何确保正确配置ISA Server 

要启用IP数据包过滤,则可以: 

在 ISA Management中,展开Servers and Arrays, <ISA name Server
>, Access Policy。 
使用鼠标右键点击IP Packet Filters,然后选择Properties。 
选中Enable Packet Filtering框。 
单击OK。 
要检验没有服务器发布规则使用用户自定义的135端口协议定义,则可以:
 

在 ISA Management中,展开Servers and Arrays, <ISA name Server
>, Policy Elements. 
单击 Protocol Definitions。 
在右侧窗格中,单击Port Number栏标题按端口号排序。 
记录下端口号为135、Defined By 栏中为“User”的所有协议定义的名称
。 
在左侧窗格中,展开Publishing。 
单击Server Publishing Rules。 
检查所有的服务器发布规则。如果在Protocol 栏中有与第4步中记录的协
议定义的名称匹配,那么这个服务器发布规则必须禁用或删除。对于RPC,
则使用ISA Server默认协议。 
如果对于外发通信正在使用“allow all”策略,则需要对表1中所列出的
所有端口创建协议定义,除6号(这个已存在的定义用于69 UDP端口,称为
TFTP)外。你应当为封锁的每一个端口创建一个协议定义,其中: 

<port number> 为表1第二列中的端口号 
<IP protocol> 为TCP或UDP 
要阻止表1中所列的已知的“冲击波”蠕虫端口上的外发通信,则可以: 


在 ISA Management中,扩展Servers and Arrays, <ISA name Server
>, Policy Elements。 
使用鼠标右键点击Protocol Definitions,指向New,然后单击Definitio
n。 
在Protocol Definition Name对话框中键入 Blaster (<port number&
gt;, <ip protocol>),然后单击Next。 
在Port Number 对话框中键入。 
在Protocol Type下拉列表中选择。 
从Direction对话框中选择Outbound。 
单击 Next。 
从Do you want to use secondary connections选项中选择No,然后单击
Next。 
单击Finish。 
要阻止已知的“冲击波”端口上的通信,则可以: 

在左侧窗格中,展开Access Policy。 
使用鼠标右键点击Protocol Rules,指向New,然后单击Rule。 
在Protocol Rule Definition Name对话框中键入Block W32.Blaster.wor
m,然后单击Next。 
从Response to client requests to use this protocol选项中选择Deny
。 
从Apply this rule下拉列表中选择Selected protocols。 
在Protocols中,选中步骤1-9和TFTP中新创建的协议定义的复选框。 
单击 Next。 
从Use this schedule下拉列表中选择Always,然后单击Next。 
这里已知的恶意的“冲击波”进程为msblast,penis32和 teekids。必须
为每一个进程创建一个防火墙客户端规则。 

要对恶意的“冲击波”进程禁用防火墙客户端,则可以: 

在 ISA Management中,展开Servers and Arrays, <ISA name Server
>。 
单击 Client Configuration。 
在右侧窗格中,使用鼠标右键单击Firewall Client,然后单击Propertie
s。 
单击Application Settings选项卡。 
单击New。 
在Application对话框中键入msblast。 
从Key下拉列表中选择Disable。 
从Value下拉列表中选择1。 
重复步骤6-8两次,将msblast替换为其他的进程名称。 
单击OK。 
单击OK。 
对于msblast.exe禁用防火墙客户端,只能阻止恶意的进程在受感染的LAT
主机上充当防火墙客户端。如果该主机还被配置为SecureNAT客户端,则这
种设置不起作用。 (要阻止SecureNAT客户端通过ISA Server访问,则需要
确保没有匿名的站点、内容或协议规则。) 


========== * * * * * ==========
返回