LexxTheFox Опубликовано 8 июля, 2011 · Жалоба Добрый день. У нас в офисе есть некоторое количество пользователей с белыми ip адресами. Для них политика - VLAN per user. Белые адреса нужны для решения некоторых проблем, вызываемых NAT'ом. Обслуживает этих пользователей коммутатор Cisco Catalyst 3550. Стоит задача обезопасить при помощи ACL'ей пользователей от сетевых червей и прочих паразитов. Понятно, что антивирусы у пользователей есть, служба доступа к файлам и принтерам отключена, права пользователей урезаны и т.д., но как ни следи - где-нибудь кто-нибудь рано или поздно да окажется голым задом в агрессивной среде современного интернета. Я посмотрел какие порты открыты у Windows 7 и Windows XP по умолчанию, прошёлся по списку портов IANA и по неофициальным спискам, какие нашёл гуглом, и составил для себя список портов, которые желательно прикрыть от доступа извне: все привилегированные порты, 1025 - network blackjack, NFS-or-IIS (TCP) 1026, 1027, 1028б 1029 - DCOM 1030 - BBN IAD, DCOM services 1512 - Microsoft's Windows Internet Name Service 1688 - nsjtp-data 1863 - Microsoft Notification Protocol (MSNP) 1900 - SSDP for UPnP (Universal Plug & Play), Windows Alerter 3389 - Windows Based Terminal (WBT) Server, RDP Remote Desktop Protocol (Terminal Server) 5355 - Link Local Multicast Name Resolution Полагаю, у посетителей данного форума наверняка есть опыт в данном вопросе, т.к. для провайдеров, работающих непосредственно с клиентами данный вопрос наверняка актуален. Прошу совета: что ещё имеет смысл прикрыть? Или быть может в данном списке есть лишние порты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
naves Опубликовано 8 июля, 2011 · Жалоба закройте 135 RPC (Remote Procedure Call) and DCOM (Distributed Component Object Model). 137,138,139 File and printer sharing and network name resolution using NetBIOS over TCP. Windows 2000 and XP use 445 for the file and printer sharing portion, but is not accessible to Windows NT/'9x systems. 445 File and Printer sharing for Windows 2000 and above. (SMB over TCP) остальные порты <1024 нужны пользователям с внешними адресами http://forum.nag.ru/forum/index.php?showtopic=64293 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 8 июля, 2011 · Жалоба Провайдеры не могут за клиента решать что клиенту нужно а что нет, потому это не лучшее место для таких вопросов. Все IP китая баньте, помогает от всяких сайтов пытающихся просканить комп на уязвимости и влить хрень. Хотя бы 80 на китай стоит блочить, врядли ваши там будут что то читать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 8 июля, 2011 · Жалоба Хотя бы 80 на китай стоит блочить, врядли ваши там будут что то читать. Неужто? Инет-магазины, китайские варезники/архивы NDA документации, сайты производителей железа и т.п... Тут волна срача поднимется куда быстрее, чем из-за заблоченой на мир самбы. А отрезание самба/нетбиос портов - практически гарантировано останавливает всяких червячков (ибо размножаются они преимущественно через эту самую самбу). P.S. Вообще, самба-протокол весьма напоминает штопаный гандон - сколько его не латают, а новые дыры постоянно вылазят, причем - дыры зачастую цепляют все семейство НТ, начиная с НТ4 (если не 3.5x). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 июля, 2011 · Жалоба Неужто? Инет-магазины, китайские варезники/архивы NDA документации, сайты производителей железа и т.п... Тут волна срача поднимется куда быстрее, чем из-за заблоченой на мир самбы. Мой совет для корпората, а не для провайдера. Самба там и так отключена виндовым фаером и снятием привязки к интрефейсу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LexxTheFox Опубликовано 14 июля, 2011 · Жалоба Большое спасибо за советы и особенно naves за ссылку: http://forum.nag.ru/forum/index.php?showtopic=64293 Информации для размышления у меня теперь предостаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...