Omezení lokálních služeb

Z Support
(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
m
 
(Nejsou zobrazeny 3 mezilehlé verze od 2 uživatelů.)
Řádka 24: Řádka 24:
 
| UDP
 
| UDP
 
| 19  
 
| 19  
 +
|-
 +
| telnet
 +
| TCP
 +
| 23
 
|-
 
|-
 
| pop2
 
| pop2
Řádka 64: Řádka 68:
 
| UDP
 
| UDP
 
| 161
 
| 161
 +
|-
 +
| smb
 +
| TCP
 +
| 445
 
|-
 
|-
 
| lpd/lpr
 
| lpd/lpr
Řádka 89: Řádka 97:
 
[[Kategorie: Bezpečnost]]
 
[[Kategorie: Bezpečnost]]
 
[[Kategorie: Pro správce IT]]
 
[[Kategorie: Pro správce IT]]
 +
[[Kategorie:webnet:bezpecnost]]

Aktuální verze z 23:45, 14 únor 2017

Lokální služby - název sám napovídá komu jsou určeny

V síti WEBnet se vyskytují koncová zařízení (servery, stanice, ale i specializovaná zařízení) poskytující síťové služby lokálního charakteru, které jsou však dostupné celému světu. Následně jsou pak zneužívány buď přímo nebo nepřímo k odrážení nebo aplifikaci DDoS útoků.

Obsah

[editovat] Co je to lokální služba

Pod pojmem lokální služba se rozumí taková síťová služba, jejíž typické využití má smysl pouze z lokální (univerzitní) sítě WEBnet a její dostupnost pro celý svět není žádoucí. Typickým příkladem může být například protokol SNMP pro správu zařízení, zasílání tiskových úloh na tiskárny apod.

[editovat] Proč jsou lokální služby omezovány

Internet není bezpečný prostor a všechna zařízení do něj připojovaná by s tím měla počítat a být na to připravena. V praxi se však ukazuje, že v univerzitní síti WEBnet se vyskytuje velmi mnoho (řádově stovky) zařízení, typicky malých tiskáren a dalších multifinkčních zařízení, která neumožňují nastavit ani základní omezení přístupu, a tak mohou být snadno zneužita. Dále značné množství zařízení poskytuje síťové služby, které lze snadno zneužít zejména k odrážení nebo amplifikaci DDoS útoků a jejich přístupnost celému světu je nebezpečná. Proto je bohužel nutné filtrovat část provozu na síťové úrovni.

[editovat] Způsob omezení lokálních služeb

Omezení se týká všech potenciálně nebezpečných lokálních služeb, přičemž příslušné porty těchto služeb jsou blokovány na hranici sítě WEBnet, tj. jsou dostupné pouze z adresních rozsahů 147.228.0.0/16 a 2001:718:1801::/48. Potřebuje-li však uživatel lokální službu použít vzdáleně (např. z domova) má možnost využít službu VPN a získat tak IP adresu z rozsahu sítě WEBnet.

[editovat] Přehled omezených lokálních služeb

Služba Protokol Port
qotd UDP 17
chargen UDP 19
telnet TCP 23
pop2 TCP 109
rpc TCP 135
netbios-ns TCP 137
netbios-ns UDP 137
netbios-dgm TCP 138
netbios-dgm UDP 138
netbios-ss TCP 139
netbios-ss UDP 139
snmp TCP 161
snmp UDP 161
smb TCP 445
lpd/lpr TCP 515
ipp TCP 631
ipp UDP 631
ssdp UDP 1900
jetdirect TCP 9100
Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje