思科ACL阻止勒索病毒


 

如何在思科的3700系列交換機上配置ACL阻止勒索病毒的傳播?

勒索病毒主要是微軟的鍋,通過TCP/UDP的135、137、138、139、445端口攻陷用戶的計算機加密用戶的文件達到勒索比特幣的目的,在企業內部特別是個人計算機居多的情況下更容易中招,為防止病毒大范圍傳播造成嚴重損失,可以通過在核心交換機上部署ACL實現控制這幾個端口的訪問達到防止的目的

試驗場景:局域網內部兩個網段172.28.27.0/24和172.28.28.0/24,其中27.0是office,28.0是server。現在需求為27.0段只能訪問172.28.28.250的445、135、137、138、139,不能訪問其他任何機器的上述端口

試驗拓撲:

配置:

sw(config)#ip access-list extended deny445 

sw(config-ext-nacl)#10 permit tcp any host 172.28.28.250 range 135 139

sw(config-ext-nacl)#11 permit udp any host 172.28.28.250 range 135 139 

sw(config-ext-nacl)#12 permit tcp any host 172.28.28.250 eq 445

sw(config-ext-nacl)#20 deny tcp any any range 135 139

sw(config-ext-nacl)#21 deny udp any any range 135 139

sw(config-ext-nacl)#22 deny tcp any any eq 445

sw(config-ext-nacl)#100 permit ip any any

sw(config)#int vlan 27

sw(config-if)#ip access-group deny445 in

sw(config-if)#ip access-group deny445 out

 

 測試

注:由於模擬器的bug 在cmd命令里面不能telnet 445端口,但是在運行中還能訪問共享!!!所以這里以telnet端口為例

1、先測試能否訪問172.28.28.250的各端口

2、測試到172.28.28.1的445和135是否通

可以看到訪問172.28.28.1的445 135端口已經被阻止了,可以通過ACL的匹配計數來驗證

 

問題:雖然實現了對445等端口的訪問限制,但是如果172.28.28.1是web服務器那么上述的ACL是否會對其產生影響?

驗證:在28.1上面啟用web服務后在27網段測試能否訪問

telnet測試

上述測試表明該ACL並未影響到此台SERVER的其他服務

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM