Как настроить ISA Server, чтобы остановить червя Code Red

ISA Server можно использовать для предотвращения распространения червя Code Red и его текущих (по состоянию на 24 августа 2001 г.) вариантов (таких как Code Red и Code Red II). Это не тестировалось на новом варианте Code Red.d.

Вот список рекомендаций по предотвращению распространения текущих версий Code Red в вашей сети, а также для предотвращения распространения Code Red за пределы вашей сети, если одна из ваших внутренних машин была скомпрометирована. Сценарий блокировки входящего был протестирован. Сценарий блокировки исходящего трафика не тестировался. Однако эти процедуры не могут гарантировать вам защиту от будущих вариантов Code Red. Чтобы убедиться, что ваши системы не уязвимы, установите исправление на серверах IIS по следующему адресу: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01. -033.asp

Отказ от ответственности
В отношении этой информации НЕТ никаких гарантий. Ни при каких обстоятельствах автор не несет ответственности за любой ущерб, возникший в результате или в связи с использованием или распространением этой информации. Любое использование этой информации осуществляется на собственный риск пользователя.

Здесь обсуждаются два сценария:

Первый сценарий — предотвратить проникновение Code Red в вашу сеть.
Второй сценарий — предотвратить распространение Code Red за пределы вашей сети, если вы уже были заражены.
Запрос Code Red может выглядеть так:

ПОЛУЧИТЬ http:// /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8
b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Существуют также варианты, в которых вместо NNNN запрос GET заполняется XXXX или OOOO. В другом варианте, запроса содержит www.worm.com.

Предотвращение входящих атак Code Red

Не включайте www.worm.com ни в какие правила публикации.
Наборы назначения, используемые в правилах публикации, должны содержать DNS-имя, а не фактический IP-адрес. Например, указать в определении «microsoft.com», а не что-то вроде xxx.xxx.xxx.xxx (где x — цифра IP-адреса).
Не публиковать на сервере порт 80 (это позволит Code Red заразить любые незащищенные машины)
При публикации в Интернете всегда используйте определенный набор мест назначения, как описано выше, и никогда не используйте параметры «Все места назначения» в разделе «Применимо к».

Предотвращение исходящих атак Code Red

Чтобы предотвратить заражение внешних серверов зараженной машиной во внутренней сети:

Создайте набор назначения, состоящий из * в качестве назначения (для любого хоста) с путем /default.ida*.
Создайте явное правило запрета содержимого, используя этот целевой набор.
Убедитесь, что не существует правила, разрешающего «все места назначения» и «любой пользователь».
Используйте правило, использующее аутентифицированных пользователей или наборы внутренних IP-клиентов, чтобы определить, следует ли предоставлять доступ.

Резюме

При правильной настройке ISA Server можно использовать для защиты вашей сети от входящих и исходящих атак Code Red.

Следуя указаниям, изложенным в разделе «Предотвращение входящих атак Code Red» выше, вы можете защитить внутренние серверы IIS от заражения. Это может выиграть время системных администраторов для развертывания внутренних исправлений IIS.
Следуя указаниям, изложенным в разделе «Предотвращение исходящих атак Code Red» выше, вы можете предотвратить заражение зараженными серверами IIS серверов за пределами вашей сети. Это снижает вероятность судебного иска против вашей компании за «атаку» на другую сеть.

Чтобы получить больше информации

Сайт безопасности Microsoft TechNet
Доступен инструмент для червя Code Red II
Технологический центр Microsoft ISA Server на Microsoft TechNet
Статьи с практическими рекомендациями по безопасности