Omezení lokálních služeb
V síti WEBnet se vyskytují koncová zařízení (servery, stanice, ale i specializovaná zařízení) poskytující síťové služby lokálního charakteru, které jsou však dostupné celému světu. Následně jsou pak zneužívány buď přímo nebo nepřímo k odrážení nebo aplifikaci DDoS útoků.
Co je to lokální služba
Pod pojmem lokální služba se rozumí taková síťová služba, jejíž typické využití má smysl pouze z lokální (univerzitní) sítě WEBnet a její dostupnost pro celý svět není žádoucí. Typickým příkladem může být například protokol SNMP pro správu zařízení, zasílání tiskových úloh na tiskárny apod.
Proč jsou lokální služby omezovány
Internet není bezpečný prostor a všechna zařízení do něj připojovaná by s tím měla počítat a být na to připravena. V praxi se však ukazuje, že v univerzitní síti WEBnet se vyskytuje velmi mnoho (řádově stovky) zařízení, typicky malých tiskáren a dalších multifinkčních zařízení, která neumožňují nastavit ani základní omezení přístupu, a tak mohou být snadno zneužita. Dále značné množství zařízení poskytuje síťové služby, které lze snadno zneužít zejména k odrážení nebo amplifikaci DDoS útoků a jejich přístupnost celému světu je nebezpečná. Proto je bohužel nutné filtrovat část provozu na síťové úrovni.
Způsob omezení lokálních služeb
Omezení se týká všech potenciálně nebezpečných lokálních služeb, přičemž příslušné porty těchto služeb jsou blokovány na hranici sítě WEBnet, tj. jsou dostupné pouze z adresních rozsahů 147.228.0.0/16 a 2001:718:1801::/48. Potřebuje-li však uživatel lokální službu použít vzdáleně (např. z domova) má možnost využít službu VPN a získat tak IP adresu z rozsahu sítě WEBnet.
Přehled omezených lokálních služeb
| Služba | Protokol | Port |
|---|---|---|
| qotd | UDP | 17 |
| chargen | UDP | 19 |
| telnet | TCP | 23 |
| pop2 | TCP | 109 |
| rpc | TCP | 135 |
| netbios-ns | TCP | 137 |
| netbios-ns | UDP | 137 |
| netbios-dgm | TCP | 138 |
| netbios-dgm | UDP | 138 |
| netbios-ss | TCP | 139 |
| netbios-ss | UDP | 139 |
| snmp | TCP | 161 |
| snmp | UDP | 161 |
| smb | TCP | 445 |
| lpd/lpr | TCP | 515 |
| ipp | TCP | 631 |
| ipp | UDP | 631 |
| ssdp | UDP | 1900 |
| rdp | UDP | 3389 |
| rdp | TCP | 3389 |
| jetdirect | TCP | 9100 |
