LexxTheFox Posted July 8, 2011 Posted July 8, 2011 Добрый день. У нас в офисе есть некоторое количество пользователей с белыми ip адресами. Для них политика - VLAN per user. Белые адреса нужны для решения некоторых проблем, вызываемых NAT'ом. Обслуживает этих пользователей коммутатор Cisco Catalyst 3550. Стоит задача обезопасить при помощи ACL'ей пользователей от сетевых червей и прочих паразитов. Понятно, что антивирусы у пользователей есть, служба доступа к файлам и принтерам отключена, права пользователей урезаны и т.д., но как ни следи - где-нибудь кто-нибудь рано или поздно да окажется голым задом в агрессивной среде современного интернета. Я посмотрел какие порты открыты у Windows 7 и Windows XP по умолчанию, прошёлся по списку портов IANA и по неофициальным спискам, какие нашёл гуглом, и составил для себя список портов, которые желательно прикрыть от доступа извне: все привилегированные порты, 1025 - network blackjack, NFS-or-IIS (TCP) 1026, 1027, 1028б 1029 - DCOM 1030 - BBN IAD, DCOM services 1512 - Microsoft's Windows Internet Name Service 1688 - nsjtp-data 1863 - Microsoft Notification Protocol (MSNP) 1900 - SSDP for UPnP (Universal Plug & Play), Windows Alerter 3389 - Windows Based Terminal (WBT) Server, RDP Remote Desktop Protocol (Terminal Server) 5355 - Link Local Multicast Name Resolution Полагаю, у посетителей данного форума наверняка есть опыт в данном вопросе, т.к. для провайдеров, работающих непосредственно с клиентами данный вопрос наверняка актуален. Прошу совета: что ещё имеет смысл прикрыть? Или быть может в данном списке есть лишние порты? Вставить ник Quote
naves Posted July 8, 2011 Posted July 8, 2011 закройте 135 RPC (Remote Procedure Call) and DCOM (Distributed Component Object Model). 137,138,139 File and printer sharing and network name resolution using NetBIOS over TCP. Windows 2000 and XP use 445 for the file and printer sharing portion, but is not accessible to Windows NT/'9x systems. 445 File and Printer sharing for Windows 2000 and above. (SMB over TCP) остальные порты <1024 нужны пользователям с внешними адресами http://forum.nag.ru/forum/index.php?showtopic=64293 Вставить ник Quote
Ivan_83 Posted July 8, 2011 Posted July 8, 2011 Провайдеры не могут за клиента решать что клиенту нужно а что нет, потому это не лучшее место для таких вопросов. Все IP китая баньте, помогает от всяких сайтов пытающихся просканить комп на уязвимости и влить хрень. Хотя бы 80 на китай стоит блочить, врядли ваши там будут что то читать. Вставить ник Quote
NiTr0 Posted July 8, 2011 Posted July 8, 2011 Хотя бы 80 на китай стоит блочить, врядли ваши там будут что то читать. Неужто? Инет-магазины, китайские варезники/архивы NDA документации, сайты производителей железа и т.п... Тут волна срача поднимется куда быстрее, чем из-за заблоченой на мир самбы. А отрезание самба/нетбиос портов - практически гарантировано останавливает всяких червячков (ибо размножаются они преимущественно через эту самую самбу). P.S. Вообще, самба-протокол весьма напоминает штопаный гандон - сколько его не латают, а новые дыры постоянно вылазят, причем - дыры зачастую цепляют все семейство НТ, начиная с НТ4 (если не 3.5x). Вставить ник Quote
Ivan_83 Posted July 9, 2011 Posted July 9, 2011 Неужто? Инет-магазины, китайские варезники/архивы NDA документации, сайты производителей железа и т.п... Тут волна срача поднимется куда быстрее, чем из-за заблоченой на мир самбы. Мой совет для корпората, а не для провайдера. Самба там и так отключена виндовым фаером и снятием привязки к интрефейсу. Вставить ник Quote
LexxTheFox Posted July 14, 2011 Author Posted July 14, 2011 Большое спасибо за советы и особенно naves за ссылку: http://forum.nag.ru/forum/index.php?showtopic=64293 Информации для размышления у меня теперь предостаточно. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.