近期,名為“GlobeImposter ”的勒索病毒再次爆發(fā)����,中國眾多用戶“中招”�。銳捷網絡已發(fā)布下一代防火墻的防范措施,建議客戶及時調整防火墻及終端,防范病毒���。為了幫助用戶徹底杜絕該病毒,銳捷技術服務工程師為廣大用戶進一步提供更為詳細的處理方案。
銳捷產品針對“GlobeImposter ”的防范措施
“GlobeImposter”勒索病毒除利用已知的Windows的系統(tǒng)漏洞之外,還利用Windows遠程桌面服務相關端口進行傳播,銳捷網絡強烈建議相關單位和個人用戶做好以下措施:
(一)關閉135���、137、139、445等端口的外部網絡訪問權限�����,在服務器上關閉不必要的上述服務端口���;
(二)加強對135��、137��、139、445等端口的內部網絡區(qū)域訪問審計,及時發(fā)現(xiàn)非授權行為或潛在的攻擊行為�;
(三)關閉Windows遠程桌面服務的外網訪問權限(默認端口為TCP 3389)���,同時在服務器上關閉Windows遠程桌面服務�。如確需開啟遠程桌面服務����,建議修改默認的Windows遠程桌面服務端口,或通過Windows防火墻、網絡設備設置允許訪問該服務的遠程主機地址���;
(四)加強服務器的密碼管理,設置強口令并定期更換密碼;
采用銳捷產品組建的網絡����,可以開啟相關產品功能進行預防,以防范和降低攻擊產生的影響���。可在網絡邊界(出口網關�����、路由器或安全設備)�����、內部網絡區(qū)域(交換機及無線設備)�����、主機安全(應用軟件)的業(yè)務優(yōu)先排布邏輯角度,部署安全策略��,具體防范方案如下:
注意:若通過網絡設備阻斷445及其他關聯(lián)端口(如: 135�����、137��、139、3389端口)的外部網絡訪問權限�,會影響到“Windows文件共享功能”�����、“AD域、LDAP對接場景”�、“云桌面產品“等的使用�����,建議根據客戶實際業(yè)務情況選擇封堵的端口����,針對云服務器或業(yè)務服務器,放通139和445端口��。
• 出口網關產品
網絡邊界出口部署銳捷NPE/NBR/EG網關產品��,主要采用禁止135�、137、139���、445、3389服務端口防范風險����。需要注意網關產品經常會部署很多的映射業(yè)務���,請務必確認業(yè)務使用的端口是否有在此禁止行列�,避免影響正常業(yè)務使用�,具體方式如下:
Ruijie#configure terminal
Ruijie(config)#ip access-list 2999(Acl num<1-3000>,注意不要跟其他ACL沖突了)
Ruijie(config-ext-nacl)#10 deny tcp any any eq 135
Ruijie(config-ext-nacl)#20 deny tcp any any eq 137
Ruijie(config-ext-nacl)#30 deny tcp any any eq 139
Ruijie(config-ext-nacl)#40 deny tcp any any eq 445
Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389
Ruijie(config-ext-nacl)#60 deny udp any any eq 135
Ruijie(config-ext-nacl)#70 deny udp any any eq 137
Ruijie(config-ext-nacl)#80 deny udp any any eq 139
Ruijie(config-ext-nacl)#90 deny udp any any eq 445
Ruijie(config-ext-nacl)#120 permit ip any any (風險點:最后必須配置允許所有�����,否則會導致斷網)
Ruijie(config-ext-nacl)#exit
Ruijie(config)#ip session filter 2999 (注意順序���,必須先配置ACL 2999再配置ip session filter)
• 路由產品
網絡邊界出口部署銳捷RSR路由器產品�����,主要采用禁止135��、137����、139、445、3389服務端口以防范風險�����。注意確認是否有其他正常業(yè)務涉及該端口����,避免影響正常業(yè)務使用。
RSR1002e/RSR2004e/RSR2014EF/RSR3044/RSR30-X/RSR50E40/RSR77 /RSR77X系列產品推薦使用session filter方式,配置方式如下:
全局創(chuàng)建ACE表項��,并在全局模式調用該ACL使其生效����。
Ruijie#configure terminal
Ruijie(config)#ip access-list extend deny_onion
Ruijie(config-ext-nacl)#10 deny tcp any any eq 135
Ruijie(config-ext-nacl)#20 deny tcp any any eq 137
Ruijie(config-ext-nacl)#30 deny tcp any any eq 139
Ruijie(config-ext-nacl)#40 deny tcp any any eq 445
Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389
Ruijie(config-ext-nacl)#60 deny udp any any eq 135
Ruijie(config-ext-nacl)#70 deny udp any any eq 137
Ruijie(config-ext-nacl)#80 deny udp any any eq 139
Ruijie(config-ext-nacl)#90 deny udp any any eq 445
Ruijie(config-ext-nacl)#120 permit ip any any (風險點:最后必須配置允許所有,否則會導致斷網)
Ruijie(config-ext-nacl)#exit
Ruijie(config)#ip fpm session filter deny_onion
針對RSR20,RSR50,RSR50e系列不支持session filter功能的路由器設備,推薦使用ACL配置���,配置方式如下:
Ruijie#configure terminal
Ruijie(config)#ip access-list extend deny_onion
Ruijie(config-ext-nacl)#10 deny tcp any any eq 135
Ruijie(config-ext-nacl)#20 deny tcp any any eq 137
Ruijie(config-ext-nacl)#30 deny tcp any any eq 139
Ruijie(config-ext-nacl)#40 deny tcp any any eq 445
Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389
Ruijie(config-ext-nacl)#60 deny udp any any eq 135
Ruijie(config-ext-nacl)#70 deny udp any any eq 137
Ruijie(config-ext-nacl)#80 deny udp any any eq 139
Ruijie(config-ext-nacl)#90 deny udp any any eq 445
Ruijie(config-ext-nacl)#120 permit ip any any (風險點:最后必須配置允許所有,否則會導致斷網)
Ruijie(config-ext-nacl)#exit
Ruijie(config)#interface gigabitEthernet 0/1 //根據不同端口進行調整
Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in
如果之前已經有配置這兩種功能�����,只需要把這次過濾端口的ACE加入之前的ACL即可��。
• 安全產品
網絡邊界安全區(qū)域部署銳捷銳捷防火墻產品����,可以通過阻斷漏洞端口或升級規(guī)則庫的方式處理:
1)安全產品首先采用禁止TCP135����、TCP/UDP137、TCP139、TCP445��、TCP3389服務端口����。如部署出口的防火墻設備經常會部署很多的映射業(yè)務�����,請務必確認業(yè)務使用的端口是否有在此禁止行列�,避免影響正常業(yè)務使用��。
以全新下一代防火墻為例�����,配置步驟如下:
2)UTM特征庫授權在有效期內的用戶,可開啟入侵防御或防病毒功能進行深度防御:
• RG-WALL 1600系列全新下一代防火墻產品(型號:RG-WALL 1600-S3100/S3200/S3600/S3700/M5100/M6600/X8500/9300/X9850),將入侵防御特征庫更新到14.00570版本����, 病毒特征庫更新到 66.00963 版本之后�����,同時開啟入侵防御和病毒防護功能即可有效攔截勒索病毒(入侵防御和病毒防護功能的具體配置方法���,可參考產品的實施一本通)��;
• RG-WALL 1600-E系列全新模塊化防火墻產品(型號:RG-WALL 1600-E200/E300/E400/E600/E800),將入侵防御特征庫(ips特征庫)規(guī)則庫/快速檢測病毒庫版本更新到 2019-03-11 版本及之后,同時開啟入侵防御�����、病毒防護功能即可有效攔截勒索病毒(入侵防御功能的具體配置方法�����,可參考產品的實施一本通);
• 交換產品
若客戶出口邊界設備無法配置隔離��,可考慮在交換產品與外網出口互聯(lián)端口及其它存在感染病毒風險的入端口上部署ACL���。但請注意確認是否有其他正常應用涉及該端口��,避免影響正常業(yè)務使用�,方式如下:
創(chuàng)建ACE表項
Ruijie#configure terminal
Ruijie(config)#ip access-list extend deny_onion
Ruijie(config-ext-nacl)#10 deny tcp any any eq 135
Ruijie(config-ext-nacl)#20 deny tcp any any eq 137
Ruijie(config-ext-nacl)#30 deny tcp any any eq 139
Ruijie(config-ext-nacl)#40 deny tcp any any eq 445
Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389
Ruijie(config-ext-nacl)#60 deny udp any any eq 135
Ruijie(config-ext-nacl)#70 deny udp any any eq 137
Ruijie(config-ext-nacl)#80 deny udp any any eq 139
Ruijie(config-ext-nacl)#90 deny udp any any eq 445
Ruijie(config-ext-nacl)#150 permit ip any any (風險點:最后必須配置允許所有���,否則會導致斷網)
Ruijie(config-ext-nacl)#exit
推薦選擇在物理接口上應用該ACL���,無需在SVI接口上配置���。例如:
Ruijie(config)#interface gigabitEthernet 0/1 //根據不同端口進行調整
Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in
• 無線產品
如果網絡中部署銳捷無線設備�����,主要采用禁止135���、137����、139�����、445�、3389服務端口以防范風險��,注意確認是否有其他正常業(yè)務涉及該端口��,避免影響正常業(yè)務使用���。
1)如果AC在局域網環(huán)境�����,建議在出口設備做相應防護策略�,無需調整AC配置。
2)如果AC作為互聯(lián)網出口���,則需在AC上部署ACL防護策略�,具體配置方法如下:
注意:配置前請先確認是否有其他正常應用需使用以下端口�,避免影響正常業(yè)務使用�����。
Ruijie#configure terminal
Ruijie(config)#ip access-list extend deny_onion
Ruijie(config-ext-nacl)#10 deny tcp any any eq 135
Ruijie(config-ext-nacl)#20 deny tcp any any eq 137
Ruijie(config-ext-nacl)#30 deny tcp any any eq 139
Ruijie(config-ext-nacl)#40 deny tcp any any eq 445
Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389
Ruijie(config-ext-nacl)#60 deny udp any any eq 135
Ruijie(config-ext-nacl)#70 deny udp any any eq 137
Ruijie(config-ext-nacl)#80 deny udp any any eq 139
Ruijie(config-ext-nacl)#90 deny udp any any eq 445
Ruijie(config-ext-nacl)#120 permit ip any any (風險點:最后必須配置允許所有,否則會導致斷網)
Ruijie(config-ext-nacl)#exit
部署場景:
1)如果內網無線終端已經出現(xiàn)問題���,在無線的wlansec下調用對應的無線ACL����,防護內網
Ruijie(config)#wlansec 1 (注意:每個用戶的wlansec下都需要調用)
Ruijie(config-wlansec)#ip access-group deny_onion in (注意順序,必須配置好ACL deny_onion再配置ip access-group deny_onion in)
Ruijie(config-wlansec)#exit
Ruijie(config)#exit
Ruijie#write
2)如果當前內網無線使用正常,只需要防護外網的攻擊報文��,可在AC上聯(lián)物理接口調用
Ruijie(config)# interface gigabitEthernet 0/1 (需要在AC上聯(lián)的物理接口調用)
Ruijie (config-if-GigabitEthernet 0/1)#ip access-group deny_onion in (注意順序,必須配置好ACL deny_onion再配置ip access-group deny_onion in)
Ruijie (config-if-GigabitEthernet 0/1)# exit
Ruijie(config)#exit
Ruijie#write
如需進一步咨詢或技術支持�����,可以聯(lián)系統(tǒng)一客服電話:4008111000��。
發(fā)布時間:2019-03-11
