[LexxTheFox]

Добрый день.

 

У нас в офисе есть некоторое количество пользователей с белыми ip адресами. Для них политика - VLAN per user. Белые адреса нужны для решения некоторых проблем, вызываемых NAT'ом. Обслуживает этих пользователей коммутатор Cisco Catalyst 3550.

Стоит задача обезопасить при помощи ACL'ей пользователей от сетевых червей и прочих паразитов. Понятно, что антивирусы у пользователей есть, служба доступа к файлам и принтерам отключена, права пользователей урезаны и т.д., но как ни следи - где-нибудь кто-нибудь рано или поздно да окажется голым задом в агрессивной среде современного интернета.

Я посмотрел какие порты открыты у Windows 7 и Windows XP по умолчанию, прошёлся по списку портов IANA и по неофициальным спискам, какие нашёл гуглом, и составил для себя список портов, которые желательно прикрыть от доступа извне:

 

все привилегированные порты,

1025 - network blackjack, NFS-or-IIS (TCP)

1026, 1027, 1028б 1029 - DCOM

1030 - BBN IAD, DCOM services

1512 - Microsoft's Windows Internet Name Service

1688 - nsjtp-data

1863 - Microsoft Notification Protocol (MSNP)

1900 - SSDP for UPnP (Universal Plug & Play), Windows Alerter

3389 - Windows Based Terminal (WBT) Server, RDP Remote Desktop Protocol (Terminal Server)

5355 - Link Local Multicast Name Resolution

 

Полагаю, у посетителей данного форума наверняка есть опыт в данном вопросе, т.к. для провайдеров, работающих непосредственно с клиентами данный вопрос наверняка актуален.

Прошу совета: что ещё имеет смысл прикрыть? Или быть может в данном списке есть лишние порты?

[naves]

закройте

135 RPC (Remote Procedure Call) and DCOM (Distributed Component Object Model).

137,138,139 File and printer sharing and network name resolution using NetBIOS over TCP. Windows 2000 and XP use 445 for the file and printer sharing portion, but is not accessible to Windows NT/'9x systems.

445 File and Printer sharing for Windows 2000 and above. (SMB over TCP)

остальные порты <1024 нужны пользователям с внешними адресами

http://forum.nag.ru/forum/index.php?showtopic=64293

[Ivan_83]

Провайдеры не могут за клиента решать что клиенту нужно а что нет, потому это не лучшее место для таких вопросов.

 

Все IP китая баньте, помогает от всяких сайтов пытающихся просканить комп на уязвимости и влить хрень. Хотя бы 80 на китай стоит блочить, врядли ваши там будут что то читать.

 

 

[NiTr0]

Хотя бы 80 на китай стоит блочить, врядли ваши там будут что то читать.

Неужто? Инет-магазины, китайские варезники/архивы NDA документации, сайты производителей железа и т.п... Тут волна срача поднимется куда быстрее, чем из-за заблоченой на мир самбы.

А отрезание самба/нетбиос портов - практически гарантировано останавливает всяких червячков (ибо размножаются они преимущественно через эту самую самбу).

 

P.S. Вообще, самба-протокол весьма напоминает штопаный гандон - сколько его не латают, а новые дыры постоянно вылазят, причем - дыры зачастую цепляют все семейство НТ, начиная с НТ4 (если не 3.5x).

[Ivan_83]

Неужто? Инет-магазины, китайские варезники/архивы NDA документации, сайты производителей железа и т.п... Тут волна срача поднимется куда быстрее, чем из-за заблоченой на мир самбы.

 

Мой совет для корпората, а не для провайдера. Самба там и так отключена виндовым фаером и снятием привязки к интрефейсу.

 

 

[LexxTheFox]

Большое спасибо за советы и особенно naves за ссылку:

 

http://forum.nag.ru/forum/index.php?showtopic=64293

 

Информации для размышления у меня теперь предостаточно.