Omezení lokálních služeb

Z Support
(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
m (Přehled omezených lokálních služeb)
m
 
(Není zobrazeno 11 mezilehlých verzí od 3 uživatelů.)
Řádka 1: Řádka 1:
Internet není bezpečný prostor a všechna zařízení do něj připojovaná by s tím měla počítat a být na to připravena. V praxi se však ukazuje, že v univerzitní síti WEBnet se vyskytuje mnoho zařízení, typicky malých tiskáren a dalších multifinkčních zařízení, která neumožňují nastavit ani omezení přístupu. Dále existuje poměrně mnoho zařízení, která poskytují síťové služby, které je možné snadno zneužít zejména k odrážení nebo amplifikaci DDoS útoků. Proto je bohužel nutné filtrovat část provozu na síťové úrovni.
+
[[Image:omezeni-ls.png|right|250px|Lokální služby - název sám napovídá komu jsou určeny]]
 +
V síti WEBnet se vyskytují koncová zařízení (servery, stanice, ale i specializovaná zařízení) poskytující síťové služby lokálního charakteru, které jsou však dostupné celému světu. Následně jsou pak zneužívány buď přímo nebo nepřímo k odrážení nebo aplifikaci DDoS útoků.
  
 
== Co je to lokální služba ==
 
== Co je to lokální služba ==
 
Pod pojmem lokální služba se rozumí taková síťová služba, jejíž typické využití má smysl pouze z lokální (univerzitní) sítě [[Struktura sítě WEBnet|WEBnet]] a její dostupnost pro celý svět není žádoucí. Typickým příkladem může být například protokol SNMP pro správu zařízení, zasílání tiskových úloh na tiskárny apod.
 
Pod pojmem lokální služba se rozumí taková síťová služba, jejíž typické využití má smysl pouze z lokální (univerzitní) sítě [[Struktura sítě WEBnet|WEBnet]] a její dostupnost pro celý svět není žádoucí. Typickým příkladem může být například protokol SNMP pro správu zařízení, zasílání tiskových úloh na tiskárny apod.
  
== Jak jsou lokální služby omezeny ==
+
== Proč jsou lokální služby omezovány ==
Omezení se týká všech potenciálně nebezpečných lokálních služeb. Příslušné porty těchto služeb jsou blokovány na hranici sítě [[Struktura sítě WEBnet|WEBnet]], tj. jsou dostupné pouze z adresních rozsahů 147.228.0.0/16 a 2001:718:1801::/48. Potřebuje-li však uživatel lokální službu použít vzdáleně (např. z domova) má možnost využít službu [[VPN]] a získat tak IP adresu z rozsahu sítě WEBnet.
+
Internet není bezpečný prostor a všechna zařízení do něj připojovaná by s tím měla počítat a být na to připravena. V praxi se však ukazuje, že v univerzitní síti WEBnet se vyskytuje velmi mnoho (řádově stovky) zařízení, typicky malých tiskáren a dalších multifinkčních zařízení, která neumožňují nastavit ani základní omezení přístupu, a tak mohou být snadno zneužita. Dále značné množství zařízení poskytuje síťové služby, které lze snadno zneužít zejména k odrážení nebo amplifikaci DDoS útoků a jejich přístupnost celému světu je nebezpečná. Proto je bohužel nutné filtrovat část provozu na síťové úrovni.
 +
 
 +
== Způsob omezení lokálních služeb ==
 +
Omezení se týká všech potenciálně nebezpečných lokálních služeb, přičemž příslušné porty těchto služeb jsou blokovány na hranici sítě [[Struktura sítě WEBnet|WEBnet]], tj. jsou dostupné pouze z adresních rozsahů 147.228.0.0/16 a 2001:718:1801::/48. Potřebuje-li však uživatel lokální službu použít vzdáleně (např. z domova) má možnost využít službu [[VPN]] a získat tak IP adresu z rozsahu sítě WEBnet.
  
 
== Přehled omezených lokálních služeb ==
 
== Přehled omezených lokálních služeb ==
Řádka 20: Řádka 24:
 
| UDP
 
| UDP
 
| 19  
 
| 19  
 +
|-
 +
| telnet
 +
| TCP
 +
| 23
 
|-
 
|-
 
| pop2
 
| pop2
 
| TCP
 
| TCP
 
| 109
 
| 109
|-
 
| ntp
 
| UDP
 
| 123
 
 
|-
 
|-
 
| rpc
 
| rpc
Řádka 64: Řádka 68:
 
| UDP
 
| UDP
 
| 161
 
| 161
 +
|-
 +
| smb
 +
| TCP
 +
| 445
 
|-
 
|-
 
| lpd/lpr
 
| lpd/lpr
 
| TCP
 
| TCP
 
| 515
 
| 515
 +
|-
 +
| ipp
 +
| TCP
 +
| 631
 +
|-
 +
| ipp
 +
| UDP
 +
| 631
 
|-
 
|-
 
| ssdp
 
| ssdp
Řádka 78: Řádka 94:
 
|-
 
|-
 
|}
 
|}
 
  
 
[[Kategorie: Bezpečnost]]
 
[[Kategorie: Bezpečnost]]
 
[[Kategorie: Pro správce IT]]
 
[[Kategorie: Pro správce IT]]
 +
[[Kategorie:webnet:bezpecnost]]

Aktuální verze z 23:45, 14 únor 2017

Lokální služby - název sám napovídá komu jsou určeny

V síti WEBnet se vyskytují koncová zařízení (servery, stanice, ale i specializovaná zařízení) poskytující síťové služby lokálního charakteru, které jsou však dostupné celému světu. Následně jsou pak zneužívány buď přímo nebo nepřímo k odrážení nebo aplifikaci DDoS útoků.

Obsah

[editovat] Co je to lokální služba

Pod pojmem lokální služba se rozumí taková síťová služba, jejíž typické využití má smysl pouze z lokální (univerzitní) sítě WEBnet a její dostupnost pro celý svět není žádoucí. Typickým příkladem může být například protokol SNMP pro správu zařízení, zasílání tiskových úloh na tiskárny apod.

[editovat] Proč jsou lokální služby omezovány

Internet není bezpečný prostor a všechna zařízení do něj připojovaná by s tím měla počítat a být na to připravena. V praxi se však ukazuje, že v univerzitní síti WEBnet se vyskytuje velmi mnoho (řádově stovky) zařízení, typicky malých tiskáren a dalších multifinkčních zařízení, která neumožňují nastavit ani základní omezení přístupu, a tak mohou být snadno zneužita. Dále značné množství zařízení poskytuje síťové služby, které lze snadno zneužít zejména k odrážení nebo amplifikaci DDoS útoků a jejich přístupnost celému světu je nebezpečná. Proto je bohužel nutné filtrovat část provozu na síťové úrovni.

[editovat] Způsob omezení lokálních služeb

Omezení se týká všech potenciálně nebezpečných lokálních služeb, přičemž příslušné porty těchto služeb jsou blokovány na hranici sítě WEBnet, tj. jsou dostupné pouze z adresních rozsahů 147.228.0.0/16 a 2001:718:1801::/48. Potřebuje-li však uživatel lokální službu použít vzdáleně (např. z domova) má možnost využít službu VPN a získat tak IP adresu z rozsahu sítě WEBnet.

[editovat] Přehled omezených lokálních služeb

Služba Protokol Port
qotd UDP 17
chargen UDP 19
telnet TCP 23
pop2 TCP 109
rpc TCP 135
netbios-ns TCP 137
netbios-ns UDP 137
netbios-dgm TCP 138
netbios-dgm UDP 138
netbios-ss TCP 139
netbios-ss UDP 139
snmp TCP 161
snmp UDP 161
smb TCP 445
lpd/lpr TCP 515
ipp TCP 631
ipp UDP 631
ssdp UDP 1900
jetdirect TCP 9100
Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje