Безопасность сетей

  0f1a9e67   

Какие службы не следует предоставлять


Архитектура интернета должна реализовываться так, чтобы соответствовать необходимым для работы службам. Службы, не являющиеся необходимыми, предоставляться не должны. При создании архитектуры сети интернет не следует разрешать использование ряда служб, обуславливающих значительную степень риска.

Ниже приведен их список.

СлужбаОписание
Службы NetBIOS (порты 135, 137, 138 и 139)Используется системами Windows для предоставления общего доступа к файлам и выполнения удаленных команд.
Unix RPC (порт 111)Используется системами Unix для удаленного вызова процедур.
NFS (порт 2049)Используется для работы Network File Services (NFS).
X (порты 6000-6100)Используется для удаленных сеансов X Window System.
Службы "r" (rlogin порт 513, rsh порт 514, rexec порт 512)Позволяет осуществлять удаленное взаимодействие с системой без использования пароля.
Telnet (порт 23)Не рекомендуется, так как пользовательский идентификатор и пароль передаются в открытом виде через интернет и могут быть перехвачены. Если необходимо разрешить интерактивный сеанс, рекомендуется использовать SSH при работе через telnet.
FTP (порт 21 и 20)Не рекомендуется по той же причине, что и telnet. Если данная возможность требуется, то передачу файлов можно осуществлять через SSH.
TFTP (Trivial FileTransfer Protocol)(порт 69)Аналогична FTP, однако не требует идентификаторов и паролей пользователей для доступа к файлам.
NetMeetingПотенциально представляет опасность, так как требует открытия верхних портов для правильной работы. Вместо того чтобы открывать эти порты, следует использовать H.323 proxy.
Remote Control Protocols (Протоколы удаленного контроля)Включают программы типа PC Anywhere и VNC. Если эти протоколы необходимы для разрешения контроля удаленными пользователями внутренних систем, они должны использоваться через VPN.
SNMP (Simple Network Management Protocol)(порт 169)Используется для управления сетью организации, однако не рекомендуется применять ее с удаленного сайта для управления внутренними системами сети.



Содержание раздела