Omezení lokálních služeb

Aktuální verze z 13:07, 16 květen 2022

V síti WEBnet se vyskytují koncová zařízení (servery, stanice, ale i specializovaná zařízení) poskytující síťové služby lokálního charakteru, které jsou však dostupné celému světu. Následně jsou pak zneužívány buď přímo nebo nepřímo k odrážení nebo aplifikaci DDoS útoků.

[editovat] Co je to lokální služba

Pod pojmem lokální služba se rozumí taková síťová služba, jejíž typické využití má smysl pouze z lokální (univerzitní) sítě WEBnet a její dostupnost pro celý svět není žádoucí. Typickým příkladem může být například protokol SNMP pro správu zařízení, zasílání tiskových úloh na tiskárny apod.

[editovat] Proč jsou lokální služby omezovány

Internet není bezpečný prostor a všechna zařízení do něj připojovaná by s tím měla počítat a být na to připravena. V praxi se však ukazuje, že v univerzitní síti WEBnet se vyskytuje velmi mnoho (řádově stovky) zařízení, typicky malých tiskáren a dalších multifinkčních zařízení, která neumožňují nastavit ani základní omezení přístupu, a tak mohou být snadno zneužita. Dále značné množství zařízení poskytuje síťové služby, které lze snadno zneužít zejména k odrážení nebo amplifikaci DDoS útoků a jejich přístupnost celému světu je nebezpečná. Proto je bohužel nutné filtrovat část provozu na síťové úrovni.

[editovat] Způsob omezení lokálních služeb

Omezení se týká všech potenciálně nebezpečných lokálních služeb, přičemž příslušné porty těchto služeb jsou blokovány na hranici sítě WEBnet, tj. jsou dostupné pouze z adresních rozsahů 147.228.0.0/16 a 2001:718:1801::/48. Potřebuje-li však uživatel lokální službu použít vzdáleně (např. z domova) má možnost využít službu VPN a získat tak IP adresu z rozsahu sítě WEBnet.

[editovat] Přehled omezených lokálních služeb