城域網(wǎng)勒索病毒防范措施

■山東廣電網(wǎng)絡(luò)有限公司濟(jì)寧分公司 崔冬梅 李瑞祥

2017 年5 月12 日開始在全球范圍內(nèi)爆發(fā)“永恒之藍(lán)”蠕蟲攻擊，惡意代碼通過掃描開放445 文件共享端口的Windows機(jī)器，在用戶電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序，給用戶帶來極大危害。

雖然時(shí)隔兩年，但勒索病毒的威脅至今仍然存在。根據(jù)上級(jí)網(wǎng)安部門的要求，筆者單位對(duì)網(wǎng)絡(luò)設(shè)備逐級(jí)進(jìn)行了防護(hù)加固，在2017 年主要是對(duì)終端的補(bǔ)丁升級(jí)，而今年主要增加了網(wǎng)絡(luò)設(shè)備上的445 端口封堵，采取了以下措施進(jìn)行防范。

外網(wǎng)

公司的互聯(lián)網(wǎng)（外網(wǎng)）出口有兩部分組成，90%的流量來自省公司，通過路由器直接接入，10%流量在本地通過流控設(shè)備接入，主要用作出口優(yōu)化。每個(gè)縣公司（營(yíng)業(yè)部）各部署一臺(tái)BRAS 設(shè)備，負(fù)責(zé)寬帶用戶的認(rèn)證、計(jì)費(fèi)、授權(quán)。接入層是OLT 直連BRAS 的模式，主要承載的業(yè)務(wù)有互聯(lián)網(wǎng)、VOD 點(diǎn)播、智慧社區(qū)相關(guān)業(yè)務(wù)。

省公司云網(wǎng)出口是直接接入的，據(jù)筆者了解，云網(wǎng)公司已經(jīng)做了防護(hù)相應(yīng)的防護(hù)措施，我們主要從本地的流控設(shè)備、核心路由器、BRAS、交換機(jī)、服務(wù)器、PC 上入手對(duì)勒索病毒做了相應(yīng)的防護(hù)措施。

1.本地流控設(shè)備防護(hù)措施

公司在本地部署了一臺(tái)流控設(shè)備，主要是接入少量的第三方出口作為出口資源調(diào)度使用，針對(duì)本次病毒攻擊，我們做的防護(hù)措施是封堵445 端口TCP 與UDP 協(xié)議，方法是在控制策略下的預(yù)置安全策略中設(shè)置規(guī)則，將所有接口封堵445 端口。

2.核心路由器、BRAS 防護(hù)措施

市公司機(jī)房共兩臺(tái)中興T8000 核心路由器，作用是與出口互聯(lián)、路由調(diào)度；11 臺(tái)中興BARS，1 臺(tái)華為BARS，作用是與T8000 互聯(lián)、用戶認(rèn)證計(jì)費(fèi)、OLT 匯聚。我們所做的操作是在中興核心路由器及BARS 的上聯(lián)口寫ACL 限制445 端口TCP 與UDP 協(xié)議，下面介紹一下具體的操作方法。

（1）中興T8000

具體步驟如圖1 所示。

中興M6000 的操作與T8000 相同，只需應(yīng)用在上聯(lián)口的smartgroup 組上即可。

（2）華為BRAS

具體步驟如圖2 所示。

3.OLT 上封堵445端口TCP、UDP 協(xié)議

市本地使用的80%的OLT 是瑞斯康達(dá)的，因設(shè)備較多，且OLT 上該功能還不夠完善，設(shè)置意義不大，本次針對(duì)勒索病毒的防范沒有進(jìn)行操作。

4.三層交換機(jī)上封堵445 端口TCP、UDP 協(xié)議

市分公司專網(wǎng)匯聚使用的是交換機(jī)，主要品牌有華為、H3C、烽火。以下介紹在網(wǎng)交換機(jī)上如何封堵445 端口。

圖3 華為交換機(jī)封堵445 端口

圖4 H3C 交換機(jī)封堵445 端口

圖5 烽火交換機(jī)封堵445 端口

（1）華為交換機(jī)

具體步驟如圖3 所示。

（2）H3C 交換機(jī)

具體步驟如圖4 所示。

（3）烽火交換機(jī)

具體步驟如圖5 所示。

5.服務(wù)器及辦公PC防護(hù)措施

對(duì)于服務(wù)器及PC主要采取的是使用NSATOOL 工具進(jìn)行掃描打補(bǔ)丁及封堵445 端口兩種手段，以下是終端禁用445 端口的方法：

首先進(jìn)入系統(tǒng)的“注冊(cè)表編輯器”，依次點(diǎn)擊注冊(cè)表選項(xiàng)”HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesNetBTParameters“，進(jìn) 入NetBT 這個(gè)服務(wù)的相關(guān)注冊(cè)表項(xiàng)。然后，在 Parameters這個(gè)子項(xiàng)的右側(cè)，點(diǎn)擊鼠標(biāo)右鍵，“新建”→“QWORD（64 位）值”，然后重命名為“SMBDeviceEnabled”，再把這個(gè)子鍵的值改為0。Windows XP 系統(tǒng)重新啟動(dòng)就可以關(guān)閉系統(tǒng)的445 端口了。Windows 7 系統(tǒng)還需要把操作系統(tǒng)的Server 服務(wù)關(guān)閉，依次點(diǎn)擊“開始”→“運(yùn)行”，輸入“services.msc”，進(jìn) 入服務(wù)管理控制臺(tái)。然后，找到Server 服務(wù)，雙擊進(jìn)入管理控制頁(yè)面。把這個(gè)服務(wù)的啟動(dòng)類型更改為“禁用”，服務(wù)狀態(tài)更改為“停止”，最后點(diǎn)擊“應(yīng)用”后重啟電腦即可。重啟電腦后，使用“netstat -an”查看電腦中處于“l(fā)isten”狀態(tài)的端口中沒有445 即為禁用成功。

內(nèi)網(wǎng)

內(nèi)網(wǎng)物理鏈路較獨(dú)立，防火墻與省SDH 線路連接，下接內(nèi)網(wǎng)核心交換機(jī)，核心交換機(jī)與縣公司（營(yíng)業(yè)部）以O(shè)SPF 協(xié)議互聯(lián)，內(nèi)網(wǎng)主要業(yè)務(wù)有業(yè)務(wù)支撐系統(tǒng)、設(shè)備網(wǎng)管、機(jī)房營(yíng)業(yè)廳監(jiān)控、動(dòng)環(huán)監(jiān)控。

內(nèi)網(wǎng)部署了一套卡巴斯基放病毒軟件，由于內(nèi)網(wǎng)與互聯(lián)網(wǎng)是隔離的，病毒庫(kù)的更新采取的是定期將病毒庫(kù)拷貝至內(nèi)網(wǎng)進(jìn)行更新。內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單，但是一些服務(wù)器是至關(guān)重要的，比如CA、EPG 等服務(wù)器是與全市數(shù)字電視用戶息息相關(guān)的，這些服務(wù)器不適合做端口封堵的操作（服務(wù)器重啟有一定風(fēng)險(xiǎn)），我們采取的是在服務(wù)器上層的交換機(jī)端口做封堵，以下是內(nèi)網(wǎng)采取的防范措施。

圖6 思科交換機(jī)封堵445 端口TCP、UDP 協(xié)議

1.更新內(nèi)網(wǎng)病毒庫(kù)

內(nèi)網(wǎng)卡巴斯基更新最新病毒庫(kù)，強(qiáng)制用戶更新，并確保防護(hù)策略已阻止445 端口通訊。

2.Juniper 防火墻封堵445 端口TCP、UDP 協(xié)議

3.交換機(jī)封堵445 端口TCP、UDP 協(xié)議

內(nèi)網(wǎng)交換機(jī)主要使用的是思科與華為，具體的封堵方法如下。

（1）思科

具體步驟如圖6 所示。

（2）華為：

操作方法同外網(wǎng)。

4.服務(wù)器及PC 的防護(hù)措施

對(duì)于內(nèi)網(wǎng)服務(wù)器及PC 的防護(hù)，方法同外網(wǎng)，但是由于內(nèi)網(wǎng)無法訪問互聯(lián)網(wǎng)，打補(bǔ)丁是一大問題，我們采取了在內(nèi)網(wǎng)搭建企業(yè)級(jí)360 服務(wù)器及建立WSUS 服務(wù)器的方式進(jìn)行補(bǔ)丁修復(fù)。

（1）建立WSUS 服務(wù)器

前期我們?cè)诠緝?nèi)部通過Windows 2008 服務(wù)器部署過WSUS 3.0 服務(wù)，部署時(shí)需要手動(dòng)安裝很多控件和補(bǔ)丁，且這個(gè)版本的服務(wù)器只能支持Windows 7、Windows 2008 的更新升級(jí)。

這次我使用Windows 2016 部署了WSUS 4.0 服務(wù)，可以支持Windows 10、Windows 8.1、Windows 8、Windows 7 桌面系統(tǒng)，以及Windows 2016、Windows 2012、Windows 2008 服務(wù)器系統(tǒng)。平臺(tái)部署比以前方便，首先在服務(wù)器管理器中，添加角色。勾選Windows Server 更新服務(wù)，然后一路點(diǎn)擊“下一步”，就可以完成了。而且Windows 2016 試用期為180 天達(dá)半年時(shí)間，到期后花費(fèi)半天時(shí)間重裝系統(tǒng)重新配置就可以，不用花錢購(gòu)買授權(quán)。

客戶機(jī)用“Windows+R”快捷鍵，輸入“gpedit.msc”，打開組策略，依次選擇“計(jì)算機(jī)配置→管理模板→Windows 組件→Windows更新”，找到“指定Intranet Microsoft 更新服務(wù)位置”右鍵點(diǎn)擊“啟用”，如圖7 所示，然后兩個(gè)地址按圖輸入。（IP 用實(shí)際的服務(wù)器的IP；由于部署WSUS 時(shí)用的默認(rèn)配置，故而端口用默認(rèn)的8530）。

圖7 啟用更新服務(wù)位置

然后在Windows 更新中啟用配置自動(dòng)更新即可完成部署。電腦重啟，就可以用內(nèi)網(wǎng)服務(wù)器更新了。

（2）部署企業(yè)級(jí)360 安全衛(wèi)士

360 企業(yè)版是永久免費(fèi)且不限終端數(shù),在內(nèi)網(wǎng)找一臺(tái)服務(wù)器，使用雙網(wǎng)卡分別連接內(nèi)網(wǎng)、外網(wǎng)，部署企業(yè)級(jí)360 安全衛(wèi)士，供內(nèi)網(wǎng)機(jī)器打補(bǔ)丁使用。部署360 企業(yè)版安裝步驟較簡(jiǎn)單，安裝完成后需在控制中心設(shè)置IP 地址（內(nèi)網(wǎng)IP10.*.*.20）、端口以及登錄密碼。

客戶機(jī)首先使用“nsatool.exe”工 具進(jìn)行檢測(cè)，如果出現(xiàn)漏洞需要修復(fù)，則可登錄“http://10.*.*.20/”進(jìn)行修復(fù)。

結(jié)論

通過對(duì)勒索病毒的全面防范，筆者單位在確保公司內(nèi)、外網(wǎng)安全的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)進(jìn)行了全面的梳理，從而進(jìn)一步提高了網(wǎng)絡(luò)信息安全的保障能力和應(yīng)急事件的處理能力。