近期,,,,,,�,名为“GlobeImposter ”的勒索病毒再次发作,,,,,,�,中国多多用户“中招”。�。�。。。全发国际网络已颁布下一代防火墙的防备措施,,,,,,�,建议客户实时调整防火墙及终端,,,,,,�,防备病毒。�。�。。。为了援手用户彻底杜绝该病毒,,,,,,�,全发国际技术服务工程师为宽大用户进一步提供更为具体的处置规划。�。�。。。
全发国际产品针对“GlobeImposter ”的防备措施
“GlobeImposter”勒索病毒除利用已知的Windows的系统缝隙之表,,,,,,�,还利用Windows远程桌面服务有关端口进行传布,,,,,,�,全发国际网络强烈建议有关单元和幼我用户做好以下措施:
(一)关关135、137、139、445等端口的表部网络接见权限,,,,,,�,在服务器上关关不用要的上述服务端口;�;;�;;
(二)加强对135、137、139、445等端口的内部网络区域接见审计,,,,,,�,实时发现非授权行为或潜在的攻击行为;�;;�;;
(三)关关Windows远程桌面服务的表网接见权限(默认端口为TCP 3389),,,,,,�,同时在服务器上关关Windows远程桌面服务。�。�。。。如确需开启远程桌面服务,,,,,,�,建议批改默认的Windows远程桌面服务端口,,,,,,�,或通过Windows防火墙、网络设备设置允许接见该服务的远程主机地址;�;;�;;
(四)加强服务器的密码治理,,,,,,�,设置强口令并定期更换密码;�;;�;;
选取全发国际产品组建的网络,,,,,,�,能够开启有关产品职能进行预防,,,,,,�,以防备和降低攻击产生的影响。�。�。。�???�??�?稍谕缣烨担ǔ隹谕亍⒙酚善骰虬踩璞福⒛诓客缜颍ɑセ换拔尴呱璞福⒅骰踩ɡ萌砑)的业务优先排布逻辑角度,,,,,,�,部署安全战术,,,,,,�,具体防备规划如下:
把稳:若通过网络设备阻断445及其他关联端口(如: 135、137、139、3389端口)的表部网络接见权限,,,,,,�,会影响到“Windows文件共享职能”、“AD域、LDAP对接场景”、“云桌面产品“等的使用,,,,,,�,建议凭据客户现实业务情况选择封堵的端口,,,,,,�,针对云服务器或业务服务器,,,,,,�,放通139和445端口。�。�。。。
• 出口网关产品
网络天堑出口部署全发国际NPE/NBR/EG网关产品,,,,,,�,重要选取不容135、137、139、445、3389服务端口防备风险。�。�。。。必要把稳网关产品时时�;;�;;岵渴鸷枚嗟挠成湟滴瘢�,请务必确认业务使用的端口是否有在此不容行列,,,,,,�,预防影响正常业务使用,,,,,,�,具体方式如下:
Ruijie#configure terminal
Ruijie(config)#ip access-list 2999(Acl num<1-3000>,,,,,,�,把稳不要跟其他ACL矛盾了)
Ruijie(config-ext-nacl)#10 deny tcp any any eq 135
Ruijie(config-ext-nacl)#20 deny tcp any any eq 137
Ruijie(config-ext-nacl)#30 deny tcp any any eq 139
Ruijie(config-ext-nacl)#40 deny tcp any any eq 445
Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389
Ruijie(config-ext-nacl)#60 deny udp any any eq 135
Ruijie(config-ext-nacl)#70 deny udp any any eq 137
Ruijie(config-ext-nacl)#80 deny udp any any eq 139
Ruijie(config-ext-nacl)#90 deny udp any any eq 445
Ruijie(config-ext-nacl)#120 permit ip any any (风险点:最后必须配置允许所有,,,,,,�,不然会导致断网)
Ruijie(config-ext-nacl)#exit
Ruijie(config)#ip session filter 2999 (把稳挨次,,,,,,�,必须先配置ACL 2999再配置ip session filter)
• 路由产品
网络天堑出口部署全发国际RSR路由器产品,,,,,,�,重要选取不容135、137、139、445、3389服务端口以防备风险。�。�。。。把稳确认是否有其他正常业务涉及该端口,,,,,,�,预防影响正常业务使用。�。�。。。
RSR1002e/RSR2004e/RSR2014EF/RSR3044/RSR30-X/RSR50E40/RSR77 /RSR77X系列产品推荐使用session filter方式,,,,,,�,配置方式如下:
全局创建ACE表项,,,,,,�,并在全局模式挪用该ACL使其生效。�。�。。。
Ruijie#configure terminal
Ruijie(config)#ip access-list extend deny_onion
Ruijie(config-ext-nacl)#10 deny tcp any any eq 135
Ruijie(config-ext-nacl)#20 deny tcp any any eq 137
Ruijie(config-ext-nacl)#30 deny tcp any any eq 139
Ruijie(config-ext-nacl)#40 deny tcp any any eq 445
Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389
Ruijie(config-ext-nacl)#60 deny udp any any eq 135
Ruijie(config-ext-nacl)#70 deny udp any any eq 137
Ruijie(config-ext-nacl)#80 deny udp any any eq 139
Ruijie(config-ext-nacl)#90 deny udp any any eq 445
Ruijie(config-ext-nacl)#120 permit ip any any (风险点:最后必须配置允许所有,,,,,,�,不然会导致断网)
Ruijie(config-ext-nacl)#exit
Ruijie(config)#ip fpm session filter deny_onion
针对RSR20,RSR50,RSR50e系列不支持session filter职能的路由器设备,,,,,,�,推荐使用ACL配置,,,,,,�,配置方式如下:
Ruijie#configure terminal
Ruijie(config)#ip access-list extend deny_onion
Ruijie(config-ext-nacl)#10 deny tcp any any eq 135
Ruijie(config-ext-nacl)#20 deny tcp any any eq 137
Ruijie(config-ext-nacl)#30 deny tcp any any eq 139
Ruijie(config-ext-nacl)#40 deny tcp any any eq 445
Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389
Ruijie(config-ext-nacl)#60 deny udp any any eq 135
Ruijie(config-ext-nacl)#70 deny udp any any eq 137
Ruijie(config-ext-nacl)#80 deny udp any any eq 139
Ruijie(config-ext-nacl)#90 deny udp any any eq 445
Ruijie(config-ext-nacl)#120 permit ip any any (风险点:最后必须配置允许所有,,,,,,�,不然会导致断网)
Ruijie(config-ext-nacl)#exit
Ruijie(config)#interface gigabitEthernet 0/1 //凭据分歧端口进行调整
Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in
若是之前已经有配置这两种职能,,,,,,�,只必要把这次过滤端口的ACE参与之前的ACL即可。�。�。。。
• 安全产品
网络天堑安全区域部署全发国际全发国际防火墙产品,,,,,,�,能够通过阻断缝隙端口或升级规定库的方式处置:
1)安全产品首先选取不容TCP135、TCP/UDP137、TCP139、TCP445、TCP3389服务端口。�。�。。。如部署出口的防火墙设备时时�;;�;;岵渴鸷枚嗟挠成湟滴瘢�,请务必确认业务使用的端口是否有在此不容行列,,,,,,�,预防影响正常业务使用。�。�。。。
以全新下一代防火墙为例,,,,,,�,配置步骤如下:
2)UTM特点库授权在有效期内的用户,,,,,,�,可开启入侵防御或防病毒职能进行深度防御:
• RG-WALL 1600系列全新下一代防火墙产品(型号:RG-WALL 1600-S3100/S3200/S3600/S3700/M5100/M6600/X8500/9300/X9850),将入侵防御特点库更新到14.00570版本,,,,,,�, 病毒特点库更新到 66.00963 版本之后,,,,,,�,同时开启入侵防御和病毒防护职能即可有效拦截勒索病毒(入侵防御和病毒防护职能的具体配置步骤,,,,,,�,可参考产品的执行一本通);�;;�;;
• RG-WALL 1600-E系列全新�???�??�?榛阑鹎讲罚ㄐ秃牛篟G-WALL 1600-E200/E300/E400/E600/E800),,,,,,�,将入侵防御特点库(ips特点库)规定库/急剧检测病毒库版本更新到 2019-03-11 版本及之后,,,,,,�,同时开启入侵防御、病毒防护职能即可有效拦截勒索病毒(入侵防御职能的具体配置步骤,,,,,,�,可参考产品的执行一本通);�;;�;;
• 互换产品
若客户出口天堑设备无法配置隔离,,,,,,�,可思考在互换产品与表网出口互联端口及其它存在习染病毒风险的入端口上部署ACL。�。�。。。但请把稳确认是否有其他正常利用涉及该端口,,,,,,�,预防影响正常业务使用,,,,,,�,方式如下:
创建ACE表项
Ruijie#configure terminal
Ruijie(config)#ip access-list extend deny_onion
Ruijie(config-ext-nacl)#10 deny tcp any any eq 135
Ruijie(config-ext-nacl)#20 deny tcp any any eq 137
Ruijie(config-ext-nacl)#30 deny tcp any any eq 139
Ruijie(config-ext-nacl)#40 deny tcp any any eq 445
Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389
Ruijie(config-ext-nacl)#60 deny udp any any eq 135
Ruijie(config-ext-nacl)#70 deny udp any any eq 137
Ruijie(config-ext-nacl)#80 deny udp any any eq 139
Ruijie(config-ext-nacl)#90 deny udp any any eq 445
Ruijie(config-ext-nacl)#150 permit ip any any (风险点:最后必须配置允许所有,,,,,,�,不然会导致断网)
Ruijie(config-ext-nacl)#exit
推荐选择在物理接口上利用该ACL,,,,,,�,无需在SVI接口上配置。�。�。。。例如:
Ruijie(config)#interface gigabitEthernet 0/1 //凭据分歧端口进行调整
Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in
• 无线产品
若是网络中部署全发国际无线设备,,,,,,�,重要选取不容135、137、139、445、3389服务端口以防备风险,,,,,,�,把稳确认是否有其他正常业务涉及该端口,,,,,,�,预防影响正常业务使用。�。�。。。
1)若是AC在局域网环境,,,,,,�,建议在出口设备做相应防护战术,,,,,,�,无需调整AC配置。�。�。。。
2)若是AC作为互联网出口,,,,,,�,则需在AC上部署ACL防护战术,,,,,,�,具体配置步骤如下:
把稳:配置前请先确认是否有其他正常利用需使用以下端口,,,,,,�,预防影响正常业务使用。�。�。。。
Ruijie#configure terminal
Ruijie(config)#ip access-list extend deny_onion
Ruijie(config-ext-nacl)#10 deny tcp any any eq 135
Ruijie(config-ext-nacl)#20 deny tcp any any eq 137
Ruijie(config-ext-nacl)#30 deny tcp any any eq 139
Ruijie(config-ext-nacl)#40 deny tcp any any eq 445
Ruijie(config-ext-nacl)#50 deny tcp any any eq 3389
Ruijie(config-ext-nacl)#60 deny udp any any eq 135
Ruijie(config-ext-nacl)#70 deny udp any any eq 137
Ruijie(config-ext-nacl)#80 deny udp any any eq 139
Ruijie(config-ext-nacl)#90 deny udp any any eq 445
Ruijie(config-ext-nacl)#120 permit ip any any (风险点:最后必须配置允许所有,,,,,,�,不然会导致断网)
Ruijie(config-ext-nacl)#exit
部署场景:
1)若是内网无线终端已经出现问题,,,,,,�,在无线的wlansec下挪用对应的无线ACL,,,,,,�,防护内网
Ruijie(config)#wlansec 1 (把稳:每个用户的wlansec下都必要挪用)
Ruijie(config-wlansec)#ip access-group deny_onion in (把稳挨次,,,,,,�,必须配置好ACL deny_onion再配置ip access-group deny_onion in)
Ruijie(config-wlansec)#exit
Ruijie(config)#exit
Ruijie#write
2)若是当前内网无线使用正常,,,,,,�,只必要防护表网的攻击报文,,,,,,�,可在AC上联物理接口挪用
Ruijie(config)# interface gigabitEthernet 0/1 (必要在AC上联的物理接口挪用)
Ruijie (config-if-GigabitEthernet 0/1)#ip access-group deny_onion in (把稳挨次,,,,,,�,必须配置好ACL deny_onion再配置ip access-group deny_onion in)
Ruijie (config-if-GigabitEthernet 0/1)# exit
Ruijie(config)#exit
Ruijie#write
如需进一步征询或技术支持,,,,,,�,能够联系统一客服电话:4008111000。�。�。。。
颁布功夫:2019-03-11
