The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Закрытие трояских портов"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Закрытие трояских портов" 
Сообщение от Serykh emailИскать по авторуВ закладки on 16-Авг-05, 15:44  (MSK)
Достали трояны в сети.
Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов, а не лазить по инету в поисках. Может кто-нибудь подскажет, где такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
Подскажите, кто как борется на циске с троянами, вирусами и т.п.
  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]

1. "Закрытие трояских портов" 
Сообщение от Serykh emailИскать по авторуВ закладки on 16-Авг-05, 21:42  (MSK)
Неужели никто не борется.
Знакомый админ даже пакеты определенного размера дропает.

>Достали трояны в сети.
>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>Подскажите, кто как борется на циске с троянами, вирусами и т.п.


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Закрытие трояских портов" 
Сообщение от ilya Искать по авторуВ закладки(??) on 17-Авг-05, 09:38  (MSK)
>Неужели никто не борется.
>Знакомый админ даже пакеты определенного размера дропает.
>
>>Достали трояны в сети.
>>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>>Подскажите, кто как борется на циске с троянами, вирусами и т.п.

а где вы закрываете порты?
на интерфейса LAN? но тут самым эффективным является борьба с троянами средствами ПО, антивирусы всякие, сканеры, ИДС. зачем бороться с последствиями, если можно их и не иметь?
если на внешнем интерфейса - но тут ИМХО необходимо закрыть все что не нужно.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Закрытие трояских портов" 
Сообщение от Serykh emailИскать по авторуВ закладки on 17-Авг-05, 12:15  (MSK)
Это часть листа по теме.
На внешнем и внутреннем закрываю порты

deny udp any any eq tftp
deny tcp any any eq 135
deny udp any any eq 135
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny tcp any any eq 139
deny udp any any eq netbios-ss
deny udp any any eq 445
deny tcp any any eq 445
deny tcp any any eq 593
deny udp any any eq 1433
deny udp any any eq 1434
deny tcp any any eq 1433
deny tcp any any eq 1434
deny tcp any any eq 4444


>>Неужели никто не борется.
>>Знакомый админ даже пакеты определенного размера дропает.
>>
>>>Достали трояны в сети.
>>>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>>>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>>>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>>>Подскажите, кто как борется на циске с троянами, вирусами и т.п.
>
>а где вы закрываете порты?
>на интерфейса LAN? но тут самым эффективным является борьба с троянами средствами
>ПО, антивирусы всякие, сканеры, ИДС. зачем бороться с последствиями, если можно
>их и не иметь?
>если на внешнем интерфейса - но тут ИМХО необходимо закрыть все что
>не нужно.


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Закрытие трояских портов" 
Сообщение от Volosatiy_slon Искать по авторуВ закладки(??) on 24-Авг-05, 16:26  (MSK)
А не проще поступить по принцыпу "что не разрешено - запрещено" и составить ACL'ы по типу
permit ...
permit ...
.
.
deny any any
ИМХО - так правильней
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Закрытие трояских портов" 
Сообщение от Serykh emailИскать по авторуВ закладки on 24-Авг-05, 16:51  (MSK)
Логично.
Попытался закрыть 2000 и 2001 порты.
Сразу позвонил клиент и сказал, что у него работает какой то клиент по этим портам.

В общем случае два подхода:

В первом закрываем всё и открываем то что нужно. Хороший подход для локальной сети, в которой известны потребности.

Второй открываем всё и закрываем то что не нужно. Хороший подход для магистральных канлов и больших сетей где потребности не известны.

В первом случае имеем геморой с клиентами, а во втором с вирусами.

>Это часть листа по теме.
>На внешнем и внутреннем закрываю порты
>
>deny udp any any eq tftp
>deny tcp any any eq 135
>deny udp any any eq 135
>deny udp any any eq netbios-ns
>deny udp any any eq netbios-dgm
>deny tcp any any eq 139
>deny udp any any eq netbios-ss
>deny udp any any eq 445
>deny tcp any any eq 445
>deny tcp any any eq 593
>deny udp any any eq 1433
>deny udp any any eq 1434
>deny tcp any any eq 1433
>deny tcp any any eq 1434
>deny tcp any any eq 4444
>
>
>>>Неужели никто не борется.
>>>Знакомый админ даже пакеты определенного размера дропает.
>>>
>>>>Достали трояны в сети.
>>>>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>>>>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>>>>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>>>>Подскажите, кто как борется на циске с троянами, вирусами и т.п.
>>
>>а где вы закрываете порты?
>>на интерфейса LAN? но тут самым эффективным является борьба с троянами средствами
>>ПО, антивирусы всякие, сканеры, ИДС. зачем бороться с последствиями, если можно
>>их и не иметь?
>>если на внешнем интерфейса - но тут ИМХО необходимо закрыть все что
>>не нужно.


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Закрытие трояских портов" 
Сообщение от PPP Искать по авторуВ закладки(??) on 25-Авг-05, 16:19  (MSK)
>Логично.
>Попытался закрыть 2000 и 2001 порты.
>Сразу позвонил клиент и сказал, что у него работает какой то клиент
>по этим портам.
>
>В общем случае два подхода:
>
>В первом закрываем всё и открываем то что нужно. Хороший подход для
>локальной сети, в которой известны потребности.
>
>Второй открываем всё и закрываем то что не нужно. Хороший подход для
>магистральных канлов и больших сетей где потребности не известны.
>
>В первом случае имеем геморой с клиентами, а во втором с вирусами.
>
>
>>Это часть листа по теме.
>>На внешнем и внутреннем закрываю порты
>>
>>deny udp any any eq tftp
>>deny tcp any any eq 135
>>deny udp any any eq 135
>>deny udp any any eq netbios-ns
>>deny udp any any eq netbios-dgm
>>deny tcp any any eq 139
>>deny udp any any eq netbios-ss
>>deny udp any any eq 445
>>deny tcp any any eq 445
>>deny tcp any any eq 593
>>deny udp any any eq 1433
>>deny udp any any eq 1434
>>deny tcp any any eq 1433
>>deny tcp any any eq 1434
>>deny tcp any any eq 4444
>>
>>
>>>>Неужели никто не борется.
>>>>Знакомый админ даже пакеты определенного размера дропает.
>>>>
>>>>>Достали трояны в сети.
>>>>>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>>>>>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>>>>>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>>>>>Подскажите, кто как борется на циске с троянами, вирусами и т.п.
>>>
>>>а где вы закрываете порты?
>>>на интерфейса LAN? но тут самым эффективным является борьба с троянами средствами
>>>ПО, антивирусы всякие, сканеры, ИДС. зачем бороться с последствиями, если можно
>>>их и не иметь?
>>>если на внешнем интерфейса - но тут ИМХО необходимо закрыть все что
>>>не нужно.


Первый вариант всеже лучше. Если что, то клиент позвонит и скажет что ему надо такой-то порт, открыл и порядок.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Закрытие трояских портов" 
Сообщение от ilya emailИскать по авторуВ закладки(??) on 25-Авг-05, 19:49  (MSK)
>Второй открываем всё и закрываем то что не нужно. Хороший подход для
>магистральных канлов и больших сетей где потребности не известны.
в магистральных сетях (ИМХО) обычно не заботят трояны и вирусы. Правда бывают исключения типа сламера и различных DDOS атак. Провайдер дает клиенту трубу пропускной способностью 10мбит. А что он там передает - его (клиента) личное дело. Если его беспопоит лишний трафик от всяких вирусов - ну тогда опять таки он должен сказать что ему пускать или нет, т.е. возвращаемся к пункту 1 ;)


>
>В первом случае имеем геморой с клиентами, а во втором с вирусами.
>
>
>>Это часть листа по теме.
>>На внешнем и внутреннем закрываю порты
>>
>>deny udp any any eq tftp
>>deny tcp any any eq 135
>>deny udp any any eq 135
>>deny udp any any eq netbios-ns
>>deny udp any any eq netbios-dgm
>>deny tcp any any eq 139
>>deny udp any any eq netbios-ss
>>deny udp any any eq 445
>>deny tcp any any eq 445
>>deny tcp any any eq 593
>>deny udp any any eq 1433
>>deny udp any any eq 1434
>>deny tcp any any eq 1433
>>deny tcp any any eq 1434
>>deny tcp any any eq 4444
>>
>>
>>>>Неужели никто не борется.
>>>>Знакомый админ даже пакеты определенного размера дропает.
>>>>
>>>>>Достали трояны в сети.
>>>>>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>>>>>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>>>>>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>>>>>Подскажите, кто как борется на циске с троянами, вирусами и т.п.
>>>
>>>а где вы закрываете порты?
>>>на интерфейса LAN? но тут самым эффективным является борьба с троянами средствами
>>>ПО, антивирусы всякие, сканеры, ИДС. зачем бороться с последствиями, если можно
>>>их и не иметь?
>>>если на внешнем интерфейса - но тут ИМХО необходимо закрыть все что
>>>не нужно.


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Закрытие трояских портов" 
Сообщение от Сайко Искать по авторуВ закладки on 26-Авг-05, 08:29  (MSK)
>>Второй открываем всё и закрываем то что не нужно. Хороший подход для
>>магистральных канлов и больших сетей где потребности не известны.
>в магистральных сетях (ИМХО) обычно не заботят трояны и вирусы. Правда бывают
>исключения типа сламера и различных DDOS атак. Провайдер дает клиенту трубу
>пропускной способностью 10мбит. А что он там передает - его (клиента)
>личное дело. Если его беспопоит лишний трафик от всяких вирусов -
>ну тогда опять таки он должен сказать что ему пускать или
>нет, т.е. возвращаемся к пункту 1 ;)

Скажу честно, что провайдеров не очень волнуют атаки на клиента, если самому провайдеру они не доставляют хлопот. Т.к. прописывание всяких ACL для клиентов на оборудовании в сторону клиента серьезно увеличивает загрузку CPU. Поэтому провайдеры идут на это с неохотой. Кинечно имеются ввиду крупные провайдеры, у которых большое количество клиентов - ТТК РТК и т.д.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Закрытие трояских портов" 
Сообщение от Serykh emailИскать по авторуВ закладки on 26-Авг-05, 09:42  (MSK)
Полностью согласен, что они не предпринимают какие-нибудь меры без серьезных на то оснований.
Спасибо за диалог. Похоже возможен только вариант с полным закрытием, или вариант - не предпринимать никаких мер, пока явно не возникнет потребность.

>>>Второй открываем всё и закрываем то что не нужно. Хороший подход для
>>>магистральных канлов и больших сетей где потребности не известны.
>>в магистральных сетях (ИМХО) обычно не заботят трояны и вирусы. Правда бывают
>>исключения типа сламера и различных DDOS атак. Провайдер дает клиенту трубу
>>пропускной способностью 10мбит. А что он там передает - его (клиента)
>>личное дело. Если его беспопоит лишний трафик от всяких вирусов -
>>ну тогда опять таки он должен сказать что ему пускать или
>>нет, т.е. возвращаемся к пункту 1 ;)
>
>Скажу честно, что провайдеров не очень волнуют атаки на клиента, если самому
>провайдеру они не доставляют хлопот. Т.к. прописывание всяких ACL для клиентов
>на оборудовании в сторону клиента серьезно увеличивает загрузку CPU. Поэтому провайдеры
>идут на это с неохотой. Кинечно имеются ввиду крупные провайдеры, у
>которых большое количество клиентов - ТТК РТК и т.д.


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Закрытие трояских портов" 
Сообщение от batyr2003 Искать по авторуВ закладки(??) on 25-Дек-05, 18:47  (MSK)
привет  Serykh
вопрос а у Вас нет еще дополнительного списка запрещенных портов
просто у меня такая же проблема, но закрывать все порты а потом открывать по просьбе клиентов я не могу слишком большой трафик

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Закрытие трояских портов" 
Сообщение от Serykh emailИскать по авторуВ закладки on 26-Дек-05, 10:04  (MSK)
Я закрываю следующее

access-list 100 deny   udp any any eq tftp
access-list 100 deny   udp any any eq 135
access-list 100 deny   udp any any eq netbios-ns
access-list 100 deny   udp any any eq netbios-dgm
access-list 100 deny   udp any any eq netbios-ss
access-list 100 deny   udp any any eq 445
access-list 100 deny   udp any any eq 593
access-list 100 deny   udp any any eq 1433
access-list 100 deny   udp any any eq 1434
access-list 100 deny   udp any any eq 4444
access-list 100 deny   tcp any any eq 135
access-list 100 deny   tcp any any eq 137
access-list 100 deny   tcp any any eq 138
access-list 100 deny   tcp any any eq 139
access-list 100 deny   tcp any any eq 445
access-list 100 deny   tcp any any eq 593
access-list 100 deny   tcp any any eq 1433
access-list 100 deny   tcp any any eq 1434
access-list 100 deny   tcp any any eq 4444
access-list 100 deny   tcp any any eq 12345
access-list 100 deny   tcp any any eq 27374

если кто дополнит, буду благодарен.

>привет  Serykh
>вопрос а у Вас нет еще дополнительного списка запрещенных портов
>просто у меня такая же проблема, но закрывать все порты а потом
>открывать по просьбе клиентов я не могу слишком большой трафик


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Закрытие трояских портов" 
Сообщение от Serykh emailИскать по авторуВ закладки on 26-Дек-05, 09:59  (MSK)
Я закрываю

access-list 100 deny   udp any any eq tftp
access-list 100 deny   udp any any eq 135
access-list 100 deny   udp any any eq netbios-ns
access-list 100 deny   udp any any eq netbios-dgm
access-list 100 deny   udp any any eq netbios-ss
access-list 100 deny   udp any any eq 445
access-list 100 deny   udp any any eq 593
access-list 100 deny   udp any any eq 1433
access-list 100 deny   udp any any eq 1434
access-list 100 deny   udp any any eq 4444
access-list 100 deny   tcp any any eq 135
access-list 100 deny   tcp any any eq 137
access-list 100 deny   tcp any any eq 138
access-list 100 deny   tcp any any eq 139
access-list 100 deny   tcp any any eq 445
access-list 100 deny   tcp any any eq 593
access-list 100 deny   tcp any any eq 1433
access-list 100 deny   tcp any any eq 1434
access-list 100 deny   tcp any any eq 4444
access-list 100 deny   tcp any any eq 12345
access-list 100 deny   tcp any any eq 27374
access-list 100 deny   tcp any any eq 31337

остальное по мере необходимости.
Если кто дополнит, буду благодарен.


>Полностью согласен, что они не предпринимают какие-нибудь меры без серьезных на то
>оснований.
>Спасибо за диалог. Похоже возможен только вариант с полным закрытием, или вариант
>- не предпринимать никаких мер, пока явно не возникнет потребность.
>
>>>>Второй открываем всё и закрываем то что не нужно. Хороший подход для
>>>>магистральных канлов и больших сетей где потребности не известны.
>>>в магистральных сетях (ИМХО) обычно не заботят трояны и вирусы. Правда бывают
>>>исключения типа сламера и различных DDOS атак. Провайдер дает клиенту трубу
>>>пропускной способностью 10мбит. А что он там передает - его (клиента)
>>>личное дело. Если его беспопоит лишний трафик от всяких вирусов -
>>>ну тогда опять таки он должен сказать что ему пускать или
>>>нет, т.е. возвращаемся к пункту 1 ;)
>>
>>Скажу честно, что провайдеров не очень волнуют атаки на клиента, если самому
>>провайдеру они не доставляют хлопот. Т.к. прописывание всяких ACL для клиентов
>>на оборудовании в сторону клиента серьезно увеличивает загрузку CPU. Поэтому провайдеры
>>идут на это с неохотой. Кинечно имеются ввиду крупные провайдеры, у
>>которых большое количество клиентов - ТТК РТК и т.д.


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру