Jump to content
Калькуляторы

Пользователи с белыми адресами, ACL для защиты от червей

Добрый день.

 

У нас в офисе есть некоторое количество пользователей с белыми ip адресами. Для них политика - VLAN per user. Белые адреса нужны для решения некоторых проблем, вызываемых NAT'ом. Обслуживает этих пользователей коммутатор Cisco Catalyst 3550.

Стоит задача обезопасить при помощи ACL'ей пользователей от сетевых червей и прочих паразитов. Понятно, что антивирусы у пользователей есть, служба доступа к файлам и принтерам отключена, права пользователей урезаны и т.д., но как ни следи - где-нибудь кто-нибудь рано или поздно да окажется голым задом в агрессивной среде современного интернета.

Я посмотрел какие порты открыты у Windows 7 и Windows XP по умолчанию, прошёлся по списку портов IANA и по неофициальным спискам, какие нашёл гуглом, и составил для себя список портов, которые желательно прикрыть от доступа извне:

 

все привилегированные порты,

1025 - network blackjack, NFS-or-IIS (TCP)

1026, 1027, 1028б 1029 - DCOM

1030 - BBN IAD, DCOM services

1512 - Microsoft's Windows Internet Name Service

1688 - nsjtp-data

1863 - Microsoft Notification Protocol (MSNP)

1900 - SSDP for UPnP (Universal Plug & Play), Windows Alerter

3389 - Windows Based Terminal (WBT) Server, RDP Remote Desktop Protocol (Terminal Server)

5355 - Link Local Multicast Name Resolution

 

Полагаю, у посетителей данного форума наверняка есть опыт в данном вопросе, т.к. для провайдеров, работающих непосредственно с клиентами данный вопрос наверняка актуален.

Прошу совета: что ещё имеет смысл прикрыть? Или быть может в данном списке есть лишние порты?

Share this post


Link to post
Share on other sites

закройте

135 RPC (Remote Procedure Call) and DCOM (Distributed Component Object Model).

137,138,139 File and printer sharing and network name resolution using NetBIOS over TCP. Windows 2000 and XP use 445 for the file and printer sharing portion, but is not accessible to Windows NT/'9x systems.

445 File and Printer sharing for Windows 2000 and above. (SMB over TCP)

остальные порты <1024 нужны пользователям с внешними адресами

http://forum.nag.ru/forum/index.php?showtopic=64293

Share this post


Link to post
Share on other sites

Провайдеры не могут за клиента решать что клиенту нужно а что нет, потому это не лучшее место для таких вопросов.

 

Все IP китая баньте, помогает от всяких сайтов пытающихся просканить комп на уязвимости и влить хрень. Хотя бы 80 на китай стоит блочить, врядли ваши там будут что то читать.

 

 

Share this post


Link to post
Share on other sites

Хотя бы 80 на китай стоит блочить, врядли ваши там будут что то читать.

Неужто? Инет-магазины, китайские варезники/архивы NDA документации, сайты производителей железа и т.п... Тут волна срача поднимется куда быстрее, чем из-за заблоченой на мир самбы.

А отрезание самба/нетбиос портов - практически гарантировано останавливает всяких червячков (ибо размножаются они преимущественно через эту самую самбу).

 

P.S. Вообще, самба-протокол весьма напоминает штопаный гандон - сколько его не латают, а новые дыры постоянно вылазят, причем - дыры зачастую цепляют все семейство НТ, начиная с НТ4 (если не 3.5x).

Share this post


Link to post
Share on other sites
Неужто? Инет-магазины, китайские варезники/архивы NDA документации, сайты производителей железа и т.п... Тут волна срача поднимется куда быстрее, чем из-за заблоченой на мир самбы.

 

Мой совет для корпората, а не для провайдера. Самба там и так отключена виндовым фаером и снятием привязки к интрефейсу.

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this