واضح آرشیو وب فارسی:سایت ریسک: t=21353">مقابله با ویروسها به وسیله ISA Server Mahmoodi 30 مهر 1383, 22:59نویسنده: فریبا اسودی ناشر : مشورت براي جلوگيري از حملات ساسر بايد كليه پورتهايي را كه ساسر از آن استفاده مي كند را بلوك كنيد. شماره پورتهاي مورد استفاده توسط ساسر 445 ، 5556 و 9996 است و همگي با پروتكل TCP كار مي كنند. Port Number Transport Protocol Used by Sasser 445 TCP Yes 5556 TCP Yes 9996 TCP Yesدر موقع استفاده از ISA 2004 بصورت پيش فرض اين پورتها بلوك شده اند. هرچند كه اگر سروري داشته باشيد كه روالي براي پورت ها داشته باشد، اين سرور در معرض خطر است. در ضمن ممكن است بيشتر در معرض خطر باشيد وقتيكه يك Exchange Server در يك DMZ داشته باشيد. زيرا اين پورت بايد بين محدوده DMZ و شبكه داخلي باز باشد. البته شما نيازي به باز گذاشتن پورتي كه بين شبكه خارجي و DMZ قراردارد نداريد و احتمال بروز خطر را تا حد زيادي كاهش مي دهيد. سياست پيش فرض براي فايروال ISA 2004 از انتشار ساسر در شبكه جلوگيري مي كند زيرا ساسر براي انتشار نياز به Outbound FTP دارد. اگر فايروال شما طوري طراحي شده كه تمام مسيرهاي خروجي آن باز باشد بايد براي پورتهاي اشاره شده حتما" روال دسترسي مناسبي تعريف كنيد. براي جلوگيري از حملات ساسر از خارج از محدوده شبكه اين عوامل ممكن است مفيد باشند: - براي پورتهاي گفته شده حتما" روال هاي دسترسي تعريف كنيد. بستن پورت TCP 445 در جهت خروجي از ترافيك CIFS خروجي جلوگيري مي كند و بستن پورتهاي 5556 و 9996 در جهت خروجي از امكان استفاده از يك كامپيوتر ويروسي به عنوان سرور FTP وانتشار كرم ساسر جلوگيري مي كند. - تعريف فايروال روي ايستگاه كاري براي جلوگيري از عملكرد خرابكارانه ساسر. براي اين روش كاري حتما" بايد روي كامپيوتر Client يك فايروال نصب كرده باشيد. توجه داشته باشيد كه تمام Client هايي كه سيستم عامل Windows دارند بايد فايروال نصب كرده باشند. اگر تمام راه هاي خروجي دسترسي تعريف شده داشته باشند باعث جلوگيري از انتشار كرم ساسر خواهد شد. كامپيوتري كه به عنوان ISA Firewall عمل مي كند هم بسيار آسيب پذير است براي جلوگيري از حملات داخلي توسط ساسر به خود ISA Server به هيچ وجه روال دسترسي براي ارتباط با كامپيوترهاي شبكه محلي با پورت هاي گفته شده ايجاد نكنيد. روش بستن ارتباط خروجي روي پورتهاي شناسايي شده 1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004 را بازكنيد و روي نام سرور Expand كنيد و روي Firewall Policy كليك كنيد. 2- روي Tab مربوط به Tasks درTask Pane كليك كنيد. 3- در صفحه Welcome to the new access Rule Wizard در جعبه نوشتاري Access Rule Name وارد كنيد Block Sasser Outbound و روي Next كليك كنيد. 4- در صفحه Rule Action وضعيت Deny را انتخاب كنيد و كليد Next را بزنيد. 5- در صفحه پروتكل انتخاب Selected Protocols را از ليست This Rule Applies to انتخاب كنيدو دكمه Add را بزنيد. 6- در صفحه مربوط به Add protocols روي New كليك كنيد پروتكل را انتخاب كنيد - در صفحه مربوط بهWelcome to the New Protocol Definition Wizard جمله Sasser Outbound را در جعبع متن Protocol Definition Name وارد كنيد و روي New كليك كنيد. 8- در صفحه Primary Connection Information روي New كليك كنيد. 9- در جعبه متن New/Edit Protocol Definition نوع پروتكل را TCP انتخاب كنيد.در اينجا همچنين Direction را Outbound انتخاب نموده و پورتها را از 445 تا 445 انتخاب كرده كليد OK را بزنيد. - براي پورتهاي 9996 و 5556 از رديف 9 تكرار كنيد 11- در صفحه New Protocol Definition Information تمام پورت هاي تعريف شده ديده مي شوند و مي توانيد رويNext كليك كنيد. 12- در صفحه Secondary connections روي No كليك كنيد و سپس Next را بزنيد. 13- براي تكميل عمليات در صفحهCompleting the New Protocol Definition Wizard روي Finish كليك كنيد. 14- در جعبه محاوره اي Add protocols روي فولدر User-defined كليك كرده و روي Sasser Outbound دوبار كليك كنيد و سپس Close را بزنيد. 15- در صفحه Protocols روي Next كليك كنيد. 16- در صفحه Access Rule Source كليد Add را بزنيد. 17- در جعبه محاوره اي Add Network Entities روي فولدر Network Sets كليك كنيد و سپس روي All Protected Networks دوبار كليك كنيد. و Close را بزنيد. 18- در صفحه Access rule Sources روي Next بزنيد. 19- در صفحه Access Rule Destinations كليد Add را بزنيد. 20- در جعبه محاوره اي Add Network Entities روي فولدر Networks بزنيد و External را دوبار كليك كنيد و Close را بزنيد. 21- در صفحه User Sets حالت پيش فرض All Users را انتخاب و Next را بزنيد. 22- در صفحه مربوط به Completing the New Access Rule Wizard كليد Finish را بزنيد. 23- قاعده Block Sasser Outbound را به بالاي ليست انتقال دهيد. 24- براي ثبت تغييرات انجام شده روي Apply كليك كنيد. 25- در جعبه محاوره اي Apply New Configuration كليد Ok را انتخاب كنيد. روش تنظيم فايروال مربوط به ايستگاه كاري براي بلوك كردن عملكرد ساسر عملكرد مشكوك ساسر در اين مرحله بنام avserve و avserve2 شناخته شده است. توجه داشته باشيد عملكرد ساسر با نام هاي متفاوت انجام ميشود مراحل بعدي كه توضيح داده خواهد شد 100% موثر نيست ولي اتصالات ايجاد شده توسط avserve و avserve2 را بلوك خواهد كرد. 1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004 را بازكنيد و روي نام سرور Expand كنيد و حالت Configuration را انتخاب كنيد. 2- روي General كليك كنيد. 3- روي Define Firewall Client Settings در قسمت Details paneكليك كنيد 4- در جعبه محاوره اي Firewall Client Setting روي Tab مربوط به Application Setting بزنيد. 5- روي Tab مربوط به Application Setting روي دكمه New كليك كنيد. 6- در پنجره محاوره اي Application Entry Setting در جهبه متن Application وارد كنيد: avserve . در ليست Key وضعيت Disable انتخاب كنيد و از ليست Value عدد 1 را انتخاب كرده سپس Ok را بزنيد. 7- مرحله 5 و 6 را تكراركرده اينبار در Application نام avserve2 را وارد كنيد. 8- در پنجره Firewall Client Setting با انتخاب Ok و سپس Apply مراحل را ثبت كنيد. 9- روي پنجره Apply new Configuration كليد Ok را بزنيد. تنظيم فايروال مربوط به Client براي Avserve.exe و Avserve2.exe فقط از رفتار مشكوك روي كامپيوتر آلوده شده جلوگيري ميكند.اگر اين دستگاه به عنوان SecureNAT طراحي شده باشد اين تنظيمات ديگر موثر نخواهد بود. ( براي جلوگيري از دسترسي SecureNAT Client از طريق سرور ISA مطمئن شويد كه هيچ دسترسي ناشناخته اي در مسير خروجي وجود ندارد). شما همچنين ميتوانيد قابليت روال Block Sasser Outbound را از طريق Telnet روي يك دستگاه كه در شبكه تحت محافظت ISA 2004 Firewall است ، كنترل كنيد. 1- كنسول Microsoft Internet Security and Acceleration را بازكنيد و سرور را Expand كنيد.و روي Monitoring كنسول كليك كنيد. 2- روي Tab مخصوص به Details گزينه Logging را انتخاب كنيد. 3- رويTab مربوط به Tasks روي لينك Start Query بزنيد. 4- روي يك ايستگاه در يك شبكه محافظت شده ابتدا Start و سپس Run را بزنيد. در پنجره متني Open دستور cmd را تايپ كنيد و Ok نماييد. 5- در Prompt تايپ كنيد: Telnet 131.107.1.1 5556 و Enter را بزنيد. 6- به كنسول Microsoft Internet Security and Acceleration Sever 2004 بازگرديدو گزارش مربوط به زمان (real time log) مونيتور كنيد. بايد متن زير را در پيغامها ببينيد: Block Sasser Outbound . 10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser Outbound 10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser Outbound.
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 211]