Специальная публикация NIST 800-10

       

Какие протоколы фильтровать


Решение о том, какие протоколы или группы портов фильтровать, зависит от политики сетевого доступа, то есть от того, какие системы должны иметь доступ к Интернету и какие типы доступа разрешены. Описанные ниже сервисы потенциально уязвимы к атакам и обычно блокируются на брандмауэре при входе в сеть или выходе из нее[Chap92],[Garf92].

  • Tftp,
  • порт 69, упрощенный FTP, используемый для загрузки ОС на бездисковых рабочих станциях, терминальных серверах и маршрутизаторах, может также быть использован для чтения любого файла в системе при его неправильной установке.
  • X Windows, Open Windows
  • , порты 6000+, порт 2000, может использоваться для перехвата изображения окон X-окон, а также вводимых символов.
  • RPC
  • , порт 111, службы вызова удаленных процедур, включая NIS и NFS, которые могут использоваться для кражи системной информации, включая пароли, а также чтения и записи файлов
  • rlogin, rsh, rexec,
  • порты 513, 514, 512, службы, которые могут при их неправильной конфигурации привести к неавторизованному доступу в систему

Ряд других средств также обычно фильтруется или их использование разрешается только для тех систем, которым они на самом деле нужны. В это список входят:

  • TELNET
  • , порт 23, часто разрешается только для отдельных систем
  • FTP
  • , порты 20 и 21, аналогично TELNET его использование разрешено только для отдельных систем
  • SMTP,
  • порт 25, часто разрешается только для центрального почтового сервера
  • RIP
  • , порт 520, протокол передачи информации о маршрутизации пакетов, может быть фальсифицирован для перенаправления пакетов
  • DNS
  • , порт 53
  • UUCP,
  • порт 540, UNIX-to-UNIX CoPy, при неправильной конфигурации может быть использован для получения неавторизованного доступа
  • NNTP,
  • порт 119, протокол передачи сетевых новостей, для доступа и чтения сетевых новостей
  • Gopher, http
  • , порты 70 и 80,

Хотя некоторые из этих служб, такие как TELNET и FTP, являются опасными по своей сути, полное блокирование доступа к другим может оказаться неприемлемым для многих организаций. Тем не менее, не все системы требуют доступа ко всем службам. Например, разрешение доступа по TELNET и FTP из Интернета только к тем системам, которым нужен этот вид доступа, может улучшить безопасность, не причиняя неудобства пользователям. Такие службы, как NNTP, на первый взгляд не представляют особой опасности, но разрешение этих служб только для тех систем, которым они нужны, поможет создать более упорядоченную сетевую среду и уменьшит вероятность их использования атакующими из-за еще неизвестных уязвимых мест.



Содержание раздела