5月12日晚,名为“WannaCry”(永恒之蓝)的勒索病毒全球爆发,中国众多用户“中招”。昨日,锐捷网络发布下一代防火墙的防范措施,建议客户及时调整防火墙及终端,防范病毒。为了帮助用户彻底杜绝该病毒,锐捷技术服务工程师彻夜撰写“攻略”,为广大用户进一步提供更为详细的处理方案。

锐捷产品针对“WannaCry”的防范措施

微软官方发布的声明称,涉及的大部分漏洞已在微软支持的产品中修复,广大用户及时更新Windows已发布的安全补丁即可从源头防止主机感染病毒。考虑到近期有可能出现的攻击威胁,CNVD(国家信息安全漏洞共享平台)建议相关单位和个人用户做好以下措施:

(一)关闭135、137、139、445、3389等端口的外部网络访问权限,在服务器上关闭不必要的上述服务端口;

(二)加强对135、137、139、445、3389等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为。

如有锐捷产品组建网络可以开启相关功能进行预防,以降低或消除该攻击产生的影响。可在网络边界(出口网关、路由器或安全设备)、内部网络区域(交换机及无线设备)、主机安全(应用软件)的业务逻辑角度,具体预防方案如下:

如路由、网关等产品及防火墙上阻断445 (其他关联端口如: 135、137、139),3389等端口的外部网络访问权限,但需注意关闭这些端口会影响“文件共享”,“远程桌面”的应用,建议待终端安装补丁彻底解决该风险后,再开启相应端口.

出口网关产品

网络边界出口部署锐捷NPE/NBR/EG网关产品,主要采用禁止135、137、139、445、3389服务端口防范风险。需要注意网关产品经常会部署很多的映射业务,请务必确认业务使用的端口是否有在此禁止行列,避免影响正常业务使用,具体方式如下:

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389

Ruijie(config-ext-nacl)#60 deny udp any any eq 135

Ruijie(config-ext-nacl)#70 deny udp any any eq 137

Ruijie(config-ext-nacl)#80 deny udp any any eq 139

Ruijie(config-ext-nacl)#90 deny udp any any eq 445

Ruijie(config-ext-nacl)#100 deny udp any any eq 3389

Ruijie(config-ext-nacl)#120 permit ip any any   (风险点:最后必须配置允许所有,否则会导致断网)

Ruijie(config-ext-nacl)#exit

Ruijie(config)#ip session filter deny_onion (注意顺序,必须先配置deny_onion再配置ip session filter)

 

路由产品

网络边界出口部署锐捷RSR路由器产品,主要采用禁止135、137、139、445、3389服务端口以防范风险。注意确认是否有其他正常业务涉及该端口,避免影响正常业务使用。

RSR1002e/RSR2004e/RSR2014EF/RSR3044/RSR30-X/RSR50E40/RSR77 /RSR77X系列产品推荐使用session filter方式,配置方式如下:

全局创建ACE表项,并在全局模式调用该ACL使其生效。

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389

Ruijie(config-ext-nacl)#60 deny udp any any eq 135

Ruijie(config-ext-nacl)#70 deny udp any any eq 137

Ruijie(config-ext-nacl)#80 deny udp any any eq 139

Ruijie(config-ext-nacl)#90 deny udp any any eq 445

Ruijie(config-ext-nacl)#100 deny udp any any eq 3389

Ruijie(config-ext-nacl)#120 permit ip any any   (风险点:最后必须配置允许所有,否则会导致断网)

Ruijie(config-ext-nacl)#exit

Ruijie(config)#ip fpm session filter deny_onion

针对RSR20,RSR50,RSR50e系列不支持session filter功能的路由器设备,推荐使用ACL配置,配置方式如下:

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389

Ruijie(config-ext-nacl)#60 deny udp any any eq 135

Ruijie(config-ext-nacl)#70 deny udp any any eq 137

Ruijie(config-ext-nacl)#80 deny udp any any eq 139

Ruijie(config-ext-nacl)#90 deny udp any any eq 445

Ruijie(config-ext-nacl)#100 deny udp any any eq 3389

Ruijie(config-ext-nacl)#120 permit ip any any   (风险点:最后必须配置允许所有,否则会导致断网)

Ruijie(config-ext-nacl)#exit

Ruijie(config)#interface gigabitEthernet 0/1  //根据不同端口进行调整

Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in

如果之前已经有配置这两种功能,只需要把这次过滤端口的ACE加入之前的ACL即可。

安全产品

网络边界安全区域部署锐捷锐捷防火墙产品,可以通过升级规则库或阻断漏洞端口的方式处理:

1、RG-WALL 1600系列全新下一代防火墙产品(型号:RG-WALL 1600-S3100/S3600/M5100/M6600/X8500/9300),授权在有效期内的,将入侵防御特征库更新到 11.00138 版本, 病毒特征库更新到 46.00760 版本之后,同时开启入侵防御和病毒防护功能即可有效拦截勒索病毒(入侵防御和病毒防护功能的具体配置方法,可参考产品的实施一本通);

2、RG-WALL 1600-E系列全新模块化防火墙产品(型号:RG-WALL 1600-E200/E400/E600/E800),授权在有效期内的,将入侵防御特征库(ips特征库)规则库版本更新到 2017-04-16 版本,同时开启入侵防御功能即可有效拦截勒索病毒(入侵防御功能的具体配置方法,可参考产品的实施一本通);

3、对于未购买授权或授权已过有效期的防火墙,推荐采用封堵TCP135、TCP/UDP137、TCP138、TCP139、TCP445端口的安全规则进行拦截。以上两个系列的低端型号和其它系列的防火墙同样推荐此方案。

如下以全新下一代防火墙为例,配置步骤如下:

交换产品

若客户出口边界设备无法配置隔离,可考虑在交换产品与外网出口互联端口及其它存在感染病毒风险的入端口上部署ACL。但请注意确认是否有其他正常应用涉及该端口,避免影响正常业务使用,方式如下:

创建ACE表项

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389

Ruijie(config-ext-nacl)#60 deny udp any any eq 135

Ruijie(config-ext-nacl)#70 deny udp any any eq 137

Ruijie(config-ext-nacl)#80 deny udp any any eq 139

Ruijie(config-ext-nacl)#90 deny udp any any eq 445

Ruijie(config-ext-nacl)#100 deny udp any any eq 3389

Ruijie(config-ext-nacl)#120 permit ip any any   (风险点:最后必须配置允许所有,否则会导致断网)

Ruijie(config-ext-nacl)#exit

推荐选择在物理接口上应用该ACL,无需在SVI接口上配置。例如:

Ruijie(config)#interface gigabitEthernet 0/1  //根据不同端口进行调整

Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in

无线产品

如果网络中部署锐捷无线设备,主要采用禁止135、137、139、445、3389服务端口以防范风险,注意确认是否有其他正常业务涉及该端口,避免影响正常业务使用。

1)、如果AC在局域网环境,建议在出口设备做相应防护策略,无需调整AC配置。

2)、如果AC作为互联网出口,则需在AC上部署ACL防护策略,具体配置方法如下:

注意:配置前请先确认是否有其他正常应用需使用以下端口,避免影响正常业务使用。

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389

Ruijie(config-ext-nacl)#60 deny udp any any eq 135

Ruijie(config-ext-nacl)#70 deny udp any any eq 137

Ruijie(config-ext-nacl)#80 deny udp any any eq 139

Ruijie(config-ext-nacl)#90 deny udp any any eq 445

Ruijie(config-ext-nacl)#100 deny udp any any eq 3389

Ruijie(config-ext-nacl)#120 permit ip any any   (风险点:最后必须配置允许所有,否则会导致断网)

Ruijie(config-ext-nacl)#exit

部署场景:

1、如果内网无线终端已经出现问题,在无线的wlansec下调用对应的无线ACL,防护内网

Ruijie(config)#wlansec 1   (注意:每个用户的wlansec下都需要调用)

Ruijie(config-wlansec)#ip access-group deny_onion in (注意顺序,必须配置好ACL deny_onion再配置ip access-group deny_onion in)

Ruijie(config-wlansec)#exit

Ruijie(config)#exit

Ruijie#write

2、如果当前内网无线使用正常,只需要防护外网的攻击报文,可在AC上联物理接口调用

Ruijie(config)# interface gigabitEthernet 0/1   (需要在AC上联的物理接口调用)

Ruijie (config-if-GigabitEthernet 0/1)#ip access-group deny_onion in (注意顺序,必须配置好ACL deny_onion再配置ip access-group deny_onion in)

Ruijie (config-if-GigabitEthernet 0/1)# exit

Ruijie(config)#exit

Ruijie#write

6     软件及云桌面系列产品

基于微软操作系统运行的锐捷SAM/SMP/SNC软件、云桌面等产品,需按微软官方要求更新操作系统补丁,具体如下:

微软官方对公布的漏洞工具进行了分析,并在北京时间4月14日发布公告,对攻击工具涉及到的漏洞进行说明,其中大多数漏洞都已经在早期的补丁中解决,有4个在最近的漏洞补丁中解决。

受影响的Windows版本:

Windows NT/2000/XP/2003/Vista/7/8/2008/2008 R2/Server 2012

微软漏洞风险预警及防护方案:

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

其中MS17-010补丁是17年3月份刚发布的,该补丁修复了3个SMB重大漏洞,请尽快下载补丁进行升级。

如仍在使用windows xp, windows 2003操作系统的用户,参考如下微软公告进行补丁更新

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

另外可以使用NSA武器库免疫工具进行检测和修复,下载地址:dl.360safe.com/nsa/nsatool.exe

 

 

 

如需进一步咨询或技术支持,可以联系统一客服电话:4008111000。