Sistemac: Pojedinačna vijest

NASLOVNICA

MAPA WEBA

TRAŽILICA

KONTAKTI

CARNET WEB


Sigurnost

Distribucija

Pomoć

Dokumenti

24-08-05 09:33
Kako zaštiti mrežu od širenja crva Zotob

piše VEDRAN TURKALJ

Cisco je prije nekoliko dana bio ponukan izdati sigurnosnu obavijest u vezi Microsoft ranjivosti vezane uz crva ZOTOB odnosno neku od njegovih varijanti, iako ranjivost nije strogo vezana uz Cisco, a sve kako bi se što više smanjilo širenje zaraze novim crvom. Kao što je poznato, crv se širi preko dobro poznatog TCP porta 445 – ovaj su port za svoje širenje svojedobno koristili i crvi Sasser i Korgo. Port TCP/445 je već duže vrijeme zabranjen na CARNet-ovim modemskim ulazima, vezi prema Geant mreži i CIX-u. Opasnost od ovog crva je kod Microsofta označena kao kritična, jer na zaraženom računalu otvara backdoor i omogućava napadaču kontrolu nad računalom.

Cisco je izvijestio da novi crvi povećavaju promet na portu 445 i još nekim portovima, ovisno o varijanti crva. Simptomi su najčešće povećano opterećenje procesora i odbacivanje paketa na ulaznim sučeljima usmjerivača. Svakako je potrebno zakrpati MS Windows računala na kojima su pokrenuti Cisco softverski proizvodi (kao što su CiscoWorks i sl.), a i manji broj samih Ciscovih programa (od kojih je najpoznatiji CallManager).

NIJE potrebno nadograđivati usmjerivače i ostale mrežne uređaje - za njih su izdane neke preporuke za ublažavanje i blokiranje širenja crva. Preporukama je potrebno pristupiti oprezno zato što blokiranje navedenih portova može utjecati na funkcionalnost kao što je npr. dijeljenje datoteka između MS Windows računala.

Detektiranje širenja crva u mreži najlakše je zapaziti korištenjem NetFlowa, odnosno naredbom >show ip cache flow | include 01BD. Prije korištenja NetFlowa on mora biti prethodno omogućen na sučelju naredbom (config-if)#ip route-cache flow. Osim toga može se koristiti i >show access-lists za prikaz broja paketa, a nije preporučljivo dodati log za port 445 u pristupnim listama jer to može preopteretiti usmjerivač u slučaju velikog prometa.

Simptom prisutnosti crva u mreži je povećan promet na vatrozidima, usmjerivačima i prospojnicima, koji dalje može dovesti do nestabilnog rada mreže.

Ukoliko koristite Cisco Intrusion Detection System ili Intrusion Prevention System, potrebno je izvršiti ažuriranje istog datotekom S185 koja sadrži potrebne podatke o crvu.

Filtriranje tranzitnog i graničnog mrežnog prometa trebalo bi vršiti na ulazu/izlazu u mrežu.

Primjeri pristupnih listi:

Filtriranje dolaznog prometa

! ZOTOB.(A-F)/BOZARI.(A,B)/WORM_RBOT.CBQ

! Blokiranje prvotnog skeniranja

! Oprez kod blokiranja TCP porta 445 da ne bi blokirali i legitimne

! konekcije

access-list 101 deny tcp any any eq 445

! ZOTOB.(A-C)