新型"蠕虫"式勒索软件"WannaCry"来势汹汹。针对近期有可能出现的攻击威胁,锐捷已发布防范方案。为了帮助客户更有效地防范病毒,我们通过对呼入锐捷客户服务中心4008111000的咨询数据分析,总结提炼了常见问题并给出明确的解决方案。

 

Q1:如何查看设备上配置防攻击ACL是否生效?

A1:首先通过命令查看ACL是否已经应用于端口:

Ruijie#show access-lists

 

ip access-list extended 199

 10 deny tcp any any eq 135

 20 deny tcp any any eq 137

 30 deny tcp any any eq 139

 40 deny tcp any any eq 445

 50 deny udp any any eq 135

 60 deny udp any any eq netbios-ns

 70 deny udp any any eq netbios-ss

 80 deny udp any any eq 445

 100 permit ip any any

Ruijie#show access-group

ip access-group 199 in

Applied On interface GigabitEthernet 0/10

无线查看:

Ruijie#show access-group wlan xxx //这里xxx为WLAN ID; 

ip access-group deny_onion in

Applied On WLAN 1

 

其次部分交换产品支持通过查看ACL过滤的报文数量确认ACL是否生效,按照如下方法开启:

步骤一:全局开启ACL计数

Ruijie(config)#ip access-list counter 199 //是否支持ACL计数只要确定设备能否敲 ip access-list counter 即可。

步骤二:接口调用ACL

Ruijie(config-if-gigabitEthernet)#ip access-group 199 in

步骤三:show access-list 看关键字是否又被MATCH到:

show access-list:

 

ip access-list extend 199

10 deny tcp any any eq 445 (3300 match) //说明有过滤到报文

20 deny tcp any any eq 135

30 deny tcp any any eq 137

40 deny tcp any any eq 139

50 deny udp any any eq 445

60 eny udp any any eq 135

70 deny udp any any eq 137

80 eny udp any any eq 139

100 prmit ip any any (990198 match) //说明已经生效

 

Q2:在网络设备部署防控“WannaCry”的原则是什么?

一方面Windows操作系统升级或关闭445及135、137、139相关端口防止主机感染病毒;另一方面网络层面重点在网络边界用ACL访问控制列表deny 445及相关端口后通过网络安全设备阻断病毒与外网的连接,防止病毒扩散。

对网络及安全设备开启相关产品功能(阻断网络设备445、135、137、139端口的访问权限)进行预防,以防范和降低攻击产生的影响。请务必以以下优先级进行防护措施:

1. 网络边界(出口网关、路由器或安全设备)

2. 内部网络区域(交换机及无线设备)

3. 主机安全(应用软件)

 

Q3阻断135、137、139、445这些端口可能会影响哪些业务?

A3:此次勒索病毒攻击,主要利用NetBIOS服务以及SMB服务的相关端口进行传播,NetBIOS协议使得在局域网内部可以方便地实现消息通信及资源的共享(如Windows系统的“网络邻居”),SMB协议是微软在NetBIOS协议基础之上开发的资源共享协议(如Windows系统中的“文件共享”)。

由于病毒传播的特性,部署在内网环境的防火墙按本指导处理后,对现网的部分业务(如网络邻居、文件共享、打印机共享等Windows的共享资源服务)会造成影响。基于现在严峻的网络安全形势,建议先关闭这些服务,待主机安装补丁加固完成后再做恢复。

 

Q4:电脑如何打补充防护?如果电脑真的中毒了怎么办?

A4每台电脑的操作系统不同,版本号不同,锐捷给出的处理建议参考《再次预警,WannaCry勒索软件锐捷无线防护锦囊!》中的个人PC防护措施:

http://mp.weixin.qq.com/s/aJNdl_lgqxHkjnbB-b8Vkg

同时建议使用专业的安全厂商如金山、360的工具进行检测和补丁更新。如果仍然还有其他问题,则需联系专业的系统工程师获取支持。

 

Q5:为什配置完成阻断端口,会有netbios-ns/ netbios-ss描述?

ip access-list extended 199

 10 deny tcp any any eq 135

 20 deny tcp any any eq 137

 30 deny tcp any any eq 139

 40 deny tcp any any eq 445

 50 deny udp any any eq 135

 60 deny udp any any eq netbios-ns

 70 deny udp any any eq netbios-ss

 80 deny udp any any eq 445

 120 permit ip any any

!

A5:UDP137、138、139端口为NetBIOS服务端口,在设备配置deny udp any any eq 137后,show run时查看配置转换成deny udp any any eq netbios-ns,这是正常现象。

netbios-ns   NetBios name service (137)

netbios-dgm  NetBios datagram service (138)

netbios-ss   NetBios session service (139)

 

Q6:在某台设备上配置ACL的命名提示不支持,为什么会有如下提示?

Ruijie(config)#ip session filter deny_onion

                                 ^

% Invalid input detected at '^' marker.

 

Ruijie(config)#

A6:RGOS平台针对不同的产品版本支持字母或字符的命令,但不同的产品或版本有差别的情况,不同型号不同版本,ACL号支持的范围有区别,在遇到无法配置字符命名ACL的情况下,采用数字命名,推荐使用扩展的ACL号(100~199、2000~2669)。

 

安全产品:

Q1:我的产品号是RG-WALL 1600E,如何配置阻断445及相关端口,是否有详细指导?

A1:安全产品产品版本存在配置差异,详细的内容可以参考《针对勒索软件WannaCry锐捷安全产品应急防范配置指导》,如果您有需要可以在锐捷官方论坛下载使用:

http://bbs.ruijie.com.cn/thread-4043-1-1.html#250039-sqq-1-41471-43152fff0e0c25651796a4339896ee50

 

路由产品:

Q1:针对锐捷RSR-E以及RSR-M系列路由器的配置方法是什么?

A1:推荐使用ACL的配置方式,配置如下:

配置term 1 来过滤135 137 139 445的tcp和udp 端口,配置term 2来方通其他所有流量

set firewall filter 199 term 1 from protocol tcp

set firewall filter 199 term 1 from protocol udp

set firewall filter 199 term 1 from destination-port 135

set firewall filter 199 term 1 from destination-port 137

set firewall filter 199 term 1 from destination-port 139

set firewall filter 199 term 1 from destination-port 445

set firewall filter 199 term 1 then reject

set firewall filter 199 term 2 then accept   (风险点:最后必须配置term2放通其他报文,否则会导致断网)

 

set interfaces ge-0/0/0 unit 0 family inet filter input 199 (在接口ge-0/0/0的input方向调用)

commit(配置提交后生效)

补充说明:

1)如果客户已经在接口上开启了类似ACL配置,那么需要在原有的ACL进行修改,需要把防护的term 1 命令放到最前面(注意如果term 1在已有的ACL中已经定义,需使用新的term名称,如term 44)。

2)如果要将term 1 调整到已有的term 3之前,调整方法如下;

inset firewall family inet filter test term 1 before term 3 (将名为test的ACL的term1调整到term3之前)

 

Q2:防病毒ACL需要在路由器的哪些接口调用?

A2:如果使用session filter功能,无需在接口下调用,全局生效;如果使用ACL功能,则需要在连接外网的三层接口(包含子接口)的in方向调用。

 

交换产品:

Q1:配置过程中提示“Hardware resource integration failed. Please reduce acl entries and try again.“什么意思?

A1:该意思提示的是设备条目容量满了,这时候需要防护策略按优先级和重要性,优先调用重要的端口。或者将ACL应用到SVI接口。

 

Q2:当接口已经配置了ACL的,如何操作生效?

A2:只需要要将ACE条目加入到ACL中即可。

 

Q3: 由于我们都是TELNET到设备上调用ACL过程中,为什么配置过程中没有报错,但是SHOW RUN时显示接口没有调用ACL。

A3:默认TELNET的日志是不会回显,需要全局开启“ terminal monitor”查看报错信息。

 

无线产品

Q1:wlansec下配置的防护策略是否在本地转发和集中转发场景中都生效?

A1:是的,均能生效。

Q2:无线网络中,本地转发与集中转发的策略配置方法是否不同?

A2: 配置方法没有差别,均是通过配置ACL禁止135、137、139、445服务端口来防范,并将ACL应用于所有wlansec下来防止内网攻击。如果AC直接作为互联网出口,还需在AC的上行物理接口上应用该AC,以防范来自公网的攻击。

Q3:无线在什么场景下需要部署防病毒策略?

A3:对于部署在公共场所的场景,强烈建议在所有wlansec下配置防护ACL,用于防止已经感染病毒的终端接入后在局域网内部扩散。对于其它私有部署的无线网络,如内网无线终端接入可控,且内网无中毒终端,可以选择在网络出口做统一的防病毒策略。

 

云课堂产品:

Q1云课堂及云办公产品如何防护WannaCry 病毒?

A1

一、云课堂的教师机PC防护

1. 下载最新的Halo体检工具,(官方下载链接:http://csc.ruijie.com.cn/rcc/),解压缩到教师PC机硬盘中某个文件夹,例如 D:\Halo

2. 双击Halo体检工具主程序,Halo体检工具会自动运行扫描,扫描到可能的风险后会如下图所示进行提示:

3. 点击“确定”,Halo体检工具会自动安装微软的MS17-010补丁,成功安装后,会有如下图所示的提示:

二、云桌面(课程镜像)的防护

对于云主机当中的课程镜像,需要如下步骤:

1.      将Halo体检工具上传到云主机“共享磁盘”,

2.      编辑课程镜像,在“我的电脑” -> "D盘"中找到刚上传的Halo体检工具,

3.      依据上面修复教师PC机的步骤,进行体检、修复。

4.      修复完成后,通过课程镜像操作系统的关机工具,安全退出课程镜像的编辑状态,完成课程镜像的修改。

注意:在修复镜像系统之前,推荐先对需要修复的课程镜像,保存一个快照(本地备份镜像文件),以便后期需要时,恢复到此状态点。

 

三、云办公用户的桌面防护

对于云办公产品,区分两类使用场景:

1. 使用通用的共享镜像的用户,需要将Halo体检工具上传云主机“共享磁盘”,在编辑镜像的状态下,完成修复。(操作步骤同云课堂的桌面防护方案)

2. 使用个性化云桌面的用户,可以在用户云桌面的网络云盘(X盘),获取到最新版Halo体检工具,运行,并完成自动修复。如果是没有挂载网络云盘的用户,可以直接登录官方下载链接:http://csc.ruijie.com.cn/rcc/,下载并运行Halo体检工具。

 

认证计费系统:

Q1:SAM的应用软件,在接入部署ACL增加了UDP 138端口防控认证提示报错是什么原因?

A1:SAM计费认证软件中会使用到UDP 138端口,不能阻断该端口,同时138端口也不涉及此次“WannaCry”病毒漏洞,确保主机、用户和服务器之间接入交换机、防火墙设备等设备阻断 135、137、139、445端口即可。

同时请重点关注认证服务器如果有与AD域联动,需放通这两个SAM服务器IP与AD域服务器IP间的445端口通信。

 

 

 

如需进一步咨询或技术支持,可以联系统一客服电话:4008-111-000。