Добрый день.
У нас в офисе есть некоторое количество пользователей с белыми ip адресами. Для них политика - VLAN per user. Белые адреса нужны для решения некоторых проблем, вызываемых NAT'ом. Обслуживает этих пользователей коммутатор Cisco Catalyst 3550.
Стоит задача обезопасить при помощи ACL'ей пользователей от сетевых червей и прочих паразитов. Понятно, что антивирусы у пользователей есть, служба доступа к файлам и принтерам отключена, права пользователей урезаны и т.д., но как ни следи - где-нибудь кто-нибудь рано или поздно да окажется голым задом в агрессивной среде современного интернета.
Я посмотрел какие порты открыты у Windows 7 и Windows XP по умолчанию, прошёлся по списку портов IANA и по неофициальным спискам, какие нашёл гуглом, и составил для себя список портов, которые желательно прикрыть от доступа извне:
все привилегированные порты,
1025 - network blackjack, NFS-or-IIS (TCP)
1026, 1027, 1028б 1029 - DCOM
1030 - BBN IAD, DCOM services
1512 - Microsoft's Windows Internet Name Service
1688 - nsjtp-data
1863 - Microsoft Notification Protocol (MSNP)
1900 - SSDP for UPnP (Universal Plug & Play), Windows Alerter
3389 - Windows Based Terminal (WBT) Server, RDP Remote Desktop Protocol (Terminal Server)
5355 - Link Local Multicast Name Resolution
Полагаю, у посетителей данного форума наверняка есть опыт в данном вопросе, т.к. для провайдеров, работающих непосредственно с клиентами данный вопрос наверняка актуален.
Прошу совета: что ещё имеет смысл прикрыть? Или быть может в данном списке есть лишние порты?
