事 件 背 景
近日���,名為“Globelmposter”的勒索病毒再次爆發(fā)�,該勒索病毒已經(jīng)更新到3.0變種���,受影響的系統(tǒng)、數(shù)據(jù)庫文件被加密破壞���,病毒將加密后的文件重命名為.Ox4444擴(kuò)展名����,并要求用戶通過郵件溝通贖金與解密密鑰等���。目前國內(nèi)眾多用戶感染病毒����,呈現(xiàn)爆發(fā)趨勢�����。
GlobeImposter的變種會利用遠(yuǎn)程桌面等協(xié)議端口進(jìn)行傳播�,為了幫助用戶徹底杜絕該病毒��,邁普技術(shù)服務(wù)工程師為廣大用戶進(jìn)一步提供切實有效的預(yù)防方案��。
安全設(shè)備防護(hù)設(shè)置
在邁普安全設(shè)備(ISG1000/MSG4000)上可通過安全策略阻斷遠(yuǎn)程桌面協(xié)議���、文件共享協(xié)議等常用的135����、137、139�、445、3389等服務(wù)端口以防止廣域網(wǎng)病毒入侵風(fēng)險�。在配置中應(yīng)注意是否有其他業(yè)務(wù)使用了上述端口��,以避免實施安全配置后正常業(yè)務(wù)出現(xiàn)異常�����。
邁普安全設(shè)備設(shè)置安全策略阻斷配置示例:
1�、在ISG1000/MSG4000資源管理---服務(wù)---自定義服務(wù)中���,選擇新建服務(wù)��,將需要阻斷的端口增加到自定義服務(wù)中
2、進(jìn)入安全策略---IPV4安全策略���,選擇新建一條安全策略���,行為為拒絕,源�、目的等均設(shè)置為any,匹配服務(wù)選擇為之前定義的防病毒服務(wù)
3��、在安全策略的配置中�,選擇優(yōu)先級配置��,將定義的阻斷安全策略放在所有策略的最前面
路由器防護(hù)設(shè)置
在邁普路由器上可通過設(shè)置訪問控制列表(ACL)的方式將遠(yuǎn)程桌面協(xié)議��、文件共享協(xié)議等常用的135�����、137�、139、445�����、3389等服務(wù)端口封閉以防范廣域網(wǎng)病毒入侵風(fēng)險���,在配置中應(yīng)注意是否有其他業(yè)務(wù)使用了上述端口�,以避免實施安全配置后正常業(yè)務(wù)出現(xiàn)異常�。
邁普路由器訪問控制列表配置示例:
ROUTER# configure terminal
ROUTER(config)#ip access-list extended deny_Globelmposter //創(chuàng)建ACL,阻斷病毒端口
ROUTER(config-ext-nacl)# deny tcp any any eq 135
ROUTER(config-ext-nacl)# deny tcp any any eq 137
ROUTER(config-ext-nacl)# deny tcp any any eq 139
ROUTER(config-ext-nacl)# deny tcp any any eq 445
ROUTER(config-ext-nacl)# deny tcp any any eq 3389
ROUTER(config-ext-nacl)# deny udp any any eq 135
ROUTER (config-ext-nacl)#deny udp any any eq 137
ROUTER(config-ext-nacl)# deny udp any any eq 139
ROUTER (config-ext-nacl)#deny udp any any eq 445
ROUTER (config-ext-nacl)#deny udp any any eq 3389
ROUTER (config-ext-nacl)#permitip any any
ROUTER (config-ext-nacl)#exit
ROUTER (config)#interfacegigabitethernet 0 //在接口調(diào)用ACL��,阻斷生效
ROUTER (config-if-gigabitethernet0)#ip access-group deny_ deny_Globelmposter in
交換機(jī)防護(hù)設(shè)置
在邁普交換機(jī)上可通過設(shè)置訪問控制列表(ACL)的方式將遠(yuǎn)程桌面協(xié)議、文件共享協(xié)議等常用的端口135�、137、139�、445���、3389等服務(wù)端口封閉以防范局域網(wǎng)病毒入侵風(fēng)險�,在配置中應(yīng)注意是否有其他業(yè)務(wù)使用了上述端口��,以避免實施安全配置后正常業(yè)務(wù)出現(xiàn)異常�����。
邁普交換機(jī)訪問控制列表配置示例:
switch#configure terminal
switch(config)#ip access-list extended deny_Globelmposter //創(chuàng)建ACL,阻斷病毒端口
switch(config-ext-nacl)# deny tcp any any eq 135
switch(config-ext-nacl)# deny tcp any any eq 137
switch(config-ext-nacl)# deny tcp any any eq 139
switch(config-ext-nacl)# deny tcp any any eq 445
switch(config-ext-nacl)# deny tcp any any eq 3389
switch(config-ext-nacl)# deny udp any any eq 135
switch(config-ext-nacl)# deny udp any any eq 137
switch(config-ext-nacl)# deny udp any any eq 139
switch(config-ext-nacl)# deny udp any any eq 445
switch(config-ext-nacl)# deny udp any any eq 3389
switch(config-ext-nacl)# permit ip any any
switch(config-ext-nacl)# exit
switch(config)#global ip access-group deny_Globelmposter in //在全局調(diào)用ACL�����,所有接口均生效
無線設(shè)備防護(hù)設(shè)置
在邁普無線控制器(AC)上可以通過設(shè)置AP策略集并下發(fā)至無線接入點(AP)的方式將遠(yuǎn)程桌面協(xié)議�����、文件共享協(xié)議等常用的135���、137���、139、445���、3389等服務(wù)端口封閉以防范無線網(wǎng)絡(luò)病毒入侵風(fēng)險,在配置中應(yīng)注意是否有其他業(yè)務(wù)使用了上述端口�����,以避免實施安全配置后正常業(yè)務(wù)出現(xiàn)異常�。
邁普無線控制器配置示例如下(示例為WEB配置方式��,SHELL配置方式可參考配置手冊):
1、在網(wǎng)絡(luò)配置---接入控制---無線接入控制中,創(chuàng)建策略集����,策略集類型為AP
2����、點擊創(chuàng)建好的策略集名稱,進(jìn)入策略集編輯模式���,選擇創(chuàng)建����,創(chuàng)建規(guī)則��,其中策略為“禁用”�,以太類型選擇為“IPV4”�,源IP地址和目的IP地址選項留空(表示任意地址),IP協(xié)議根據(jù)具體端口類型分別選擇為TCP�、UDP,如TCP3389端口設(shè)置如下:
3�、按照步驟2設(shè)置完成所有需要封閉的端口后,在策略集配置模式中���,將默認(rèn)策略修改為“允許”
4�、進(jìn)入網(wǎng)絡(luò)配置---WLAN配置---AP模板,選擇需要開啟病毒入侵防護(hù)的無線AP模板進(jìn)行編輯�,在AP模板---BSS配置中���,選擇需要開啟病毒入侵防護(hù)的無線SSID名稱,再選擇編輯���,在無線接入控制選項選擇之前定義好的無線接入控制規(guī)則
5、將修改后的AP模板重新應(yīng)用至AP�,新增加的病毒入侵防護(hù)策略即可生效
其他防護(hù)建議
通過上述對網(wǎng)絡(luò)的設(shè)置,可有效阻斷病毒通過遠(yuǎn)程桌面等協(xié)議進(jìn)行傳播����,另外建議對于在用終端和服務(wù)器也做好本地防護(hù),確保不被病毒感染�����。
1.不要點擊來源不明的郵件以及附件�����;
2.及時給電腦打補(bǔ)丁,修復(fù)安全漏洞�;
3.對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份;
4.安裝專業(yè)的終端/服務(wù)器安全防護(hù)軟件��;
5.更改賬戶密碼����,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼��。
南京雙勉網(wǎng)絡(luò)科技有限公司作為邁普通信江蘇區(qū)域總代理��,始終秉承“立事于行�����,服務(wù)于心”的經(jīng)營理念�,致力于為客戶提供優(yōu)質(zhì)的計算機(jī)網(wǎng)絡(luò)設(shè)備及智能樓宇弱電產(chǎn)品,想了解更多關(guān)于邁普網(wǎng)絡(luò)產(chǎn)品信息����,可以咨詢我們����,客服電話:025-86884480����。
