Omezení lokálních služeb

Z Support
(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
m (Nová stránka: Internet není bezpečný prostor a všechna zařízení do něj připojovaná by s tím měla počítat a být na to připravena. V praxi se však ukazuje, že v univerzitní síti ...)
 
m
 
(Není zobrazeno 15 mezilehlých verzí od 3 uživatelů.)
Řádka 1: Řádka 1:
Internet není bezpečný prostor a všechna zařízení do něj připojovaná by s tím měla počítat a být na to připravena. V praxi se však ukazuje, že v univerzitní síti WEBnet se vyskytuje mnoho zařízení, typicky malých tiskáren a dalších multifinkčních zařízení, která neumožňují nastavit ani omezení přístupu. Dále existuje poměrně mnoho zařízení, která poskytují síťové služby, které je možné snadno zneužít zejména k odrážení nebo amplifikaci DDoS útoků. Proto je bohužel nutné filtrovat část provozu na síťové úrovni.
+
[[Image:omezeni-ls.png|right|250px|Lokální služby - název sám napovídá komu jsou určeny]]
 +
V síti WEBnet se vyskytují koncová zařízení (servery, stanice, ale i specializovaná zařízení) poskytující síťové služby lokálního charakteru, které jsou však dostupné celému světu. Následně jsou pak zneužívány buď přímo nebo nepřímo k odrážení nebo aplifikaci DDoS útoků.
  
= Co je to lokální služba =
+
== Co je to lokální služba ==
Pod pojmem '''lokální služba''' se rozumí taková síťová služba, jejíž typické využití má smysl pouze z lokální (univerzitní) sítě [[Struktura sítě WEBnet|WEBnet]] a její dostupnost pro celý svět není žádoucí. Typickým příkladem může být například protokol SNMP pro správu zařízení, zasílání tiskových úloh na tiskárny apod.
+
Pod pojmem lokální služba se rozumí taková síťová služba, jejíž typické využití má smysl pouze z lokální (univerzitní) sítě [[Struktura sítě WEBnet|WEBnet]] a její dostupnost pro celý svět není žádoucí. Typickým příkladem může být například protokol SNMP pro správu zařízení, zasílání tiskových úloh na tiskárny apod.
  
= Jak jsou lokální služby omezeny =
+
== Proč jsou lokální služby omezovány ==
Omezení se týká všech potenciálně nebezpečných lokálních služeb. Příslušné porty těchto služeb jsou blokovány na hranici sítě [[Struktura sítě WEBnet|WEBnet]], tj. jsou dostupné pouze z adresních rozsahů 147.228.0.0/16 a 2001:718:1801::/48. Potřebuje-li v3ak uživatel lokální službu použít vzdáleně (např. z domova) má možnost využít službu [[VPN]] a získat tak IP adresu z rozsahu sítě WEBnet.
+
Internet není bezpečný prostor a všechna zařízení do něj připojovaná by s tím měla počítat a být na to připravena. V praxi se však ukazuje, že v univerzitní síti WEBnet se vyskytuje velmi mnoho (řádově stovky) zařízení, typicky malých tiskáren a dalších multifinkčních zařízení, která neumožňují nastavit ani základní omezení přístupu, a tak mohou být snadno zneužita. Dále značné množství zařízení poskytuje síťové služby, které lze snadno zneužít zejména k odrážení nebo amplifikaci DDoS útoků a jejich přístupnost celému světu je nebezpečná. Proto je bohužel nutné filtrovat část provozu na síťové úrovni.
  
= Přehled omezených lokálních služeb =
+
== Způsob omezení lokálních služeb ==
 +
Omezení se týká všech potenciálně nebezpečných lokálních služeb, přičemž příslušné porty těchto služeb jsou blokovány na hranici sítě [[Struktura sítě WEBnet|WEBnet]], tj. jsou dostupné pouze z adresních rozsahů 147.228.0.0/16 a 2001:718:1801::/48. Potřebuje-li však uživatel lokální službu použít vzdáleně (např. z domova) má možnost využít službu [[VPN]] a získat tak IP adresu z rozsahu sítě WEBnet.
 +
 
 +
== Přehled omezených lokálních služeb ==
 
{| class="tabulka" style="align:center" border=1
 
{| class="tabulka" style="align:center" border=1
 
!Služba
 
!Služba
 +
!Protokol
 
!Port
 
!Port
 
|-
 
|-
|SNMP  (Simple Network Management Protocol)
+
| qotd
|161/UDP
+
| UDP
 +
| 17
 +
|-
 +
| chargen
 +
| UDP
 +
| 19
 +
|-
 +
| telnet
 +
| TCP
 +
| 23
 +
|-
 +
| pop2
 +
| TCP
 +
| 109
 +
|-
 +
| rpc
 +
| TCP
 +
| 135
 +
|-
 +
| netbios-ns
 +
| TCP
 +
| 137
 +
|-
 +
| netbios-ns
 +
| UDP
 +
| 137
 +
|-
 +
| netbios-dgm
 +
| TCP
 +
| 138
 +
|-
 +
| netbios-dgm
 +
| UDP
 +
| 138
 +
|-
 +
| netbios-ss
 +
| TCP
 +
| 139
 +
|-
 +
| netbios-ss
 +
| UDP
 +
| 139
 +
|-
 +
| snmp
 +
| TCP
 +
| 161
 +
|-
 +
| snmp
 +
| UDP
 +
| 161
 +
|-
 +
| smb
 +
| TCP
 +
| 445
 +
|-
 +
| lpd/lpr
 +
| TCP
 +
| 515
 +
|-
 +
| ipp
 +
| TCP
 +
| 631
 +
|-
 +
| ipp
 +
| UDP
 +
| 631
 +
|-
 +
| ssdp
 +
| UDP
 +
| 1900
 +
|-
 +
| jetdirect
 +
| TCP
 +
| 9100
 
|-
 
|-
|LPR (Line Printer Remote protocol)
 
|515/TCP
 
 
|}
 
|}
 
  
 
[[Kategorie: Bezpečnost]]
 
[[Kategorie: Bezpečnost]]
 
[[Kategorie: Pro správce IT]]
 
[[Kategorie: Pro správce IT]]
 +
[[Kategorie:webnet:bezpecnost]]

Aktuální verze z 23:45, 14 únor 2017

Lokální služby - název sám napovídá komu jsou určeny

V síti WEBnet se vyskytují koncová zařízení (servery, stanice, ale i specializovaná zařízení) poskytující síťové služby lokálního charakteru, které jsou však dostupné celému světu. Následně jsou pak zneužívány buď přímo nebo nepřímo k odrážení nebo aplifikaci DDoS útoků.

Obsah

[editovat] Co je to lokální služba

Pod pojmem lokální služba se rozumí taková síťová služba, jejíž typické využití má smysl pouze z lokální (univerzitní) sítě WEBnet a její dostupnost pro celý svět není žádoucí. Typickým příkladem může být například protokol SNMP pro správu zařízení, zasílání tiskových úloh na tiskárny apod.

[editovat] Proč jsou lokální služby omezovány

Internet není bezpečný prostor a všechna zařízení do něj připojovaná by s tím měla počítat a být na to připravena. V praxi se však ukazuje, že v univerzitní síti WEBnet se vyskytuje velmi mnoho (řádově stovky) zařízení, typicky malých tiskáren a dalších multifinkčních zařízení, která neumožňují nastavit ani základní omezení přístupu, a tak mohou být snadno zneužita. Dále značné množství zařízení poskytuje síťové služby, které lze snadno zneužít zejména k odrážení nebo amplifikaci DDoS útoků a jejich přístupnost celému světu je nebezpečná. Proto je bohužel nutné filtrovat část provozu na síťové úrovni.

[editovat] Způsob omezení lokálních služeb

Omezení se týká všech potenciálně nebezpečných lokálních služeb, přičemž příslušné porty těchto služeb jsou blokovány na hranici sítě WEBnet, tj. jsou dostupné pouze z adresních rozsahů 147.228.0.0/16 a 2001:718:1801::/48. Potřebuje-li však uživatel lokální službu použít vzdáleně (např. z domova) má možnost využít službu VPN a získat tak IP adresu z rozsahu sítě WEBnet.

[editovat] Přehled omezených lokálních služeb

Služba Protokol Port
qotd UDP 17
chargen UDP 19
telnet TCP 23
pop2 TCP 109
rpc TCP 135
netbios-ns TCP 137
netbios-ns UDP 137
netbios-dgm TCP 138
netbios-dgm UDP 138
netbios-ss TCP 139
netbios-ss UDP 139
snmp TCP 161
snmp UDP 161
smb TCP 445
lpd/lpr TCP 515
ipp TCP 631
ipp UDP 631
ssdp UDP 1900
jetdirect TCP 9100
Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje