城域網勒索病毒防范措施

■山東廣電網絡有限公司濟寧分公司 崔冬梅 李瑞祥

2017 年5 月12 日開始在全球范圍內爆發“永恒之藍”蠕蟲攻擊，惡意代碼通過掃描開放445 文件共享端口的Windows機器，在用戶電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序，給用戶帶來極大危害。

雖然時隔兩年，但勒索病毒的威脅至今仍然存在。根據上級網安部門的要求，筆者單位對網絡設備逐級進行了防護加固，在2017 年主要是對終端的補丁升級，而今年主要增加了網絡設備上的445 端口封堵，采取了以下措施進行防范。

外網

公司的互聯網（外網）出口有兩部分組成，90%的流量來自省公司，通過路由器直接接入，10%流量在本地通過流控設備接入，主要用作出口優化。每個縣公司（營業部）各部署一臺BRAS 設備，負責寬帶用戶的認證、計費、授權。接入層是OLT 直連BRAS 的模式，主要承載的業務有互聯網、VOD 點播、智慧社區相關業務。

省公司云網出口是直接接入的，據筆者了解，云網公司已經做了防護相應的防護措施，我們主要從本地的流控設備、核心路由器、BRAS、交換機、服務器、PC 上入手對勒索病毒做了相應的防護措施。

1.本地流控設備防護措施

公司在本地部署了一臺流控設備，主要是接入少量的第三方出口作為出口資源調度使用，針對本次病毒攻擊，我們做的防護措施是封堵445 端口TCP 與UDP 協議，方法是在控制策略下的預置安全策略中設置規則，將所有接口封堵445 端口。

2.核心路由器、BRAS 防護措施

市公司機房共兩臺中興T8000 核心路由器，作用是與出口互聯、路由調度；11 臺中興BARS，1 臺華為BARS，作用是與T8000 互聯、用戶認證計費、OLT 匯聚。我們所做的操作是在中興核心路由器及BARS 的上聯口寫ACL 限制445 端口TCP 與UDP 協議，下面介紹一下具體的操作方法。

（1）中興T8000

具體步驟如圖1 所示。

中興M6000 的操作與T8000 相同，只需應用在上聯口的smartgroup 組上即可。

（2）華為BRAS

具體步驟如圖2 所示。

3.OLT 上封堵445端口TCP、UDP 協議

市本地使用的80%的OLT 是瑞斯康達的，因設備較多，且OLT 上該功能還不夠完善，設置意義不大，本次針對勒索病毒的防范沒有進行操作。

4.三層交換機上封堵445 端口TCP、UDP 協議

市分公司專網匯聚使用的是交換機，主要品牌有華為、H3C、烽火。以下介紹在網交換機上如何封堵445 端口。

圖3 華為交換機封堵445 端口

圖4 H3C 交換機封堵445 端口

圖5 烽火交換機封堵445 端口

（1）華為交換機

具體步驟如圖3 所示。

（2）H3C 交換機

具體步驟如圖4 所示。

（3）烽火交換機

具體步驟如圖5 所示。

5.服務器及辦公PC防護措施

對于服務器及PC主要采取的是使用NSATOOL 工具進行掃描打補丁及封堵445 端口兩種手段，以下是終端禁用445 端口的方法：

首先進入系統的“注冊表編輯器”，依次點擊注冊表選項”HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesNetBTParameters“，進 入NetBT 這個服務的相關注冊表項。然后，在 Parameters這個子項的右側，點擊鼠標右鍵，“新建”→“QWORD（64 位）值”，然后重命名為“SMBDeviceEnabled”，再把這個子鍵的值改為0。Windows XP 系統重新啟動就可以關閉系統的445 端口了。Windows 7 系統還需要把操作系統的Server 服務關閉，依次點擊“開始”→“運行”，輸入“services.msc”，進 入服務管理控制臺。然后，找到Server 服務，雙擊進入管理控制頁面。把這個服務的啟動類型更改為“禁用”，服務狀態更改為“停止”，最后點擊“應用”后重啟電腦即可。重啟電腦后，使用“netstat -an”查看電腦中處于“listen”狀態的端口中沒有445 即為禁用成功。

內網

內網物理鏈路較獨立，防火墻與省SDH 線路連接，下接內網核心交換機，核心交換機與縣公司（營業部）以OSPF 協議互聯，內網主要業務有業務支撐系統、設備網管、機房營業廳監控、動環監控。

內網部署了一套卡巴斯基放病毒軟件，由于內網與互聯網是隔離的，病毒庫的更新采取的是定期將病毒庫拷貝至內網進行更新。內網網絡結構相對簡單，但是一些服務器是至關重要的，比如CA、EPG 等服務器是與全市數字電視用戶息息相關的，這些服務器不適合做端口封堵的操作（服務器重啟有一定風險），我們采取的是在服務器上層的交換機端口做封堵，以下是內網采取的防范措施。

圖6 思科交換機封堵445 端口TCP、UDP 協議

1.更新內網病毒庫

內網卡巴斯基更新最新病毒庫，強制用戶更新，并確保防護策略已阻止445 端口通訊。

2.Juniper 防火墻封堵445 端口TCP、UDP 協議

3.交換機封堵445 端口TCP、UDP 協議

內網交換機主要使用的是思科與華為，具體的封堵方法如下。

（1）思科

具體步驟如圖6 所示。

（2）華為：

操作方法同外網。

4.服務器及PC 的防護措施

對于內網服務器及PC 的防護，方法同外網，但是由于內網無法訪問互聯網，打補丁是一大問題，我們采取了在內網搭建企業級360 服務器及建立WSUS 服務器的方式進行補丁修復。

（1）建立WSUS 服務器

前期我們在公司內部通過Windows 2008 服務器部署過WSUS 3.0 服務，部署時需要手動安裝很多控件和補丁，且這個版本的服務器只能支持Windows 7、Windows 2008 的更新升級。

這次我使用Windows 2016 部署了WSUS 4.0 服務，可以支持Windows 10、Windows 8.1、Windows 8、Windows 7 桌面系統，以及Windows 2016、Windows 2012、Windows 2008 服務器系統。平臺部署比以前方便，首先在服務器管理器中，添加角色。勾選Windows Server 更新服務，然后一路點擊“下一步”，就可以完成了。而且Windows 2016 試用期為180 天達半年時間，到期后花費半天時間重裝系統重新配置就可以，不用花錢購買授權。

客戶機用“Windows+R”快捷鍵，輸入“gpedit.msc”，打開組策略，依次選擇“計算機配置→管理模板→Windows 組件→Windows更新”，找到“指定Intranet Microsoft 更新服務位置”右鍵點擊“啟用”，如圖7 所示，然后兩個地址按圖輸入。（IP 用實際的服務器的IP；由于部署WSUS 時用的默認配置，故而端口用默認的8530）。

圖7 啟用更新服務位置

然后在Windows 更新中啟用配置自動更新即可完成部署。電腦重啟，就可以用內網服務器更新了。

（2）部署企業級360 安全衛士

360 企業版是永久免費且不限終端數,在內網找一臺服務器，使用雙網卡分別連接內網、外網，部署企業級360 安全衛士，供內網機器打補丁使用。部署360 企業版安裝步驟較簡單，安裝完成后需在控制中心設置IP 地址（內網IP10.*.*.20）、端口以及登錄密碼。

客戶機首先使用“nsatool.exe”工 具進行檢測，如果出現漏洞需要修復，則可登錄“http://10.*.*.20/”進行修復。

結論

通過對勒索病毒的全面防范，筆者單位在確保公司內、外網安全的基礎上，對網絡進行了全面的梳理，從而進一步提高了網絡信息安全的保障能力和應急事件的處理能力。