[Driftstörning] Mer information om brandväggar/spärrar
Erik Stenvall
ess at ita.chalmers.se
Thu Oct 2 14:42:12 CEST 2003
Hej!
Som utlovat kommer lite mer information om kommande
blockeringar/brandväggar mellan Chalmers och Internet. Nedan har jag
bifogat en artikel (http://www.irt.chalmers.se/Artiklar/2003-10-01_1.php).
/Erik Stenvall, Chalmers IRT
==============================================================================
[1]Chalmers [2]INSIDAN
[3]Chalmers datorincidentgrupp (IRT)
2003-10-02 14.30
Första fasen i införande av brandvägg för Chalmers
Den första fasen av Chalmers nya skydd mot Internet innebär att vissa
"farliga" tjänster spärras. Införandet kommer att ske stegvis enligt
ett schema. Parallellt med detta kommer följande steg att utredas av
datorincidentgruppen (IRT) och nätgruppen (CDG).
IRT har i uppdrag att implementera ett skydd för Chalmers
datorresurser som skyddar mot angrepp från källor både utanför och
inom Chalmers nätverk. Visionen är att blockera all inkommande trafik
(d v s trafik som initierats utanför resp nät) utom för utpekade
server-tjänster. Detta kräver dock förändringar i den teknik som
används. Hur detta skall göras utan att göra nätet oanvändbart eller
utan att det "kostar skjortan" kräver dock viss eftertanke - samtidigt
som det är bråttom att göra någonting.
Schema för blockering av tjänster
on 8/10 Windowstjänster 135/tcp 135/udp
137/tcp 137/udp
138/tcp 138/udp
139/tcp 139/udp
445/tcp 445/udp
må 13/10 rcpbind 111/tcp 111/udp
on 15/10 MsSQL-server 1433/tcp 1433/udp
1434/tcp 1434/udp
må 20/10 tftp, snmp, syslog 69/udp
161/udp
162/udp
514/udp
on 22/10 printer 515/tcp
må 29/10 X 6000/tcp 6000/udp
7100/tcp 7100/udp
on 3/11 nfs 2049/tcp 2049/udp
Under övervägande
må 5/11 Universal PnP 5000/tcp 5000/udp
on 10/11 Höga X-portar 6001-6063/tcp 6001-6063/udp
Flera steg
Införandet kommer att ske i flera steg där steg ett innebär att vissa
grupper av farliga tjänster spärras. Två grupper per vecka kommer att
blockeras, en på måndagar och en på onsdagar. Genom detta förfarande
blir det lättare att förbereda användare och system inför
förändringarna och lättare att felsöka om störningar skulle uppträda.
Undantag från denna blockering kommer att (om de godkänts) ske enligt
de önskemål som lämnats in till IRT från varje sektions dekan.
För att ytterligare minimera störningarna kommer de spärrar som gäller
tjänster som använder portar över 1024 att göra undantag för trafik
som initierats innanför brandväggen (s k established).
Fortsatt arbete
Parallellt med denna kortsiktiga åtgärd kommer ett arbete för att ta
fram en långsiktig lösning som implementerar visionen ske. Ett första
steg i detta arbete kommer att vara ett möte, då all IT-personal är
välkommen, där förändringar i nättopologin kommer att diskuteras.
Chalmers nuvarande topologi medför extrema kostnader för att uppnå
visionen, kan en förändrad topologi förenkla situationen? Detta möte
kan eventuellt leda till ett längre möte (en s k retreat) för att
fördjupa diskussionerna.
Dessa diskussioner och de undantagslistor som IRT har fått kommer att
påverka det vidare arbetet med att implementera visionen. Det är i
dagsläget mycket svårt att sia om vilken lösning som kommer att
väljas. Dessa faktorer kommer säkerligen också påverka hur de olika
zonerna (t ex Internet/Chalmers/sektionen) ser ut.
Mer information
* [4]Tidigare artikel om bakgrund och syfte till brandväggen.
* [5]Datorincidentgruppens (IRT) hemsida:
http://www.irt.chalmers.se/
_________________________________________________________________
Dokumentet senast ändrat: 2003-10-02 14.36.57
Dokumentet senast ändrat av: ess Chalmers datorincidentgrupp ansvarar
för sidan.
References
1. http://www.chalmers.se/
2. http://www.adm.chalmers.se/
3. http://www.irt.chalmers.se/
4. http://www.irt.chalmers.se/Artiklar/2003-09-12_1.php
5. http://www.irt.chalmers.se/
--
Erik Stenvall, DCE/unix system administrator
Chalmers IT and Telecom Services
Tel: +46 (0)31 7728657
More information about the Driftstorning
mailing list