[Driftstörning] Re: [Runda-bordet] Mer information om brandväggar/spärrar

Gunnar Lindberg lindberg at cdg.chalmers.se
Mon Oct 13 16:23:06 CEST 2003 

>  Schema för blockering av tjänster
>    on 15/10 MsSQL-server
>      1433/tcp 1433/udp
>      1434/tcp 1434/udp

Det finns ett potentiellt problem att denna sorts spärr kan komma att
drabba svaren på DNS-frågor skickade till externa DNS-servers - kanske
ska man ha ganska mycket otur för att det ska hända men det finns viss
sannolikhet att man ibland får t.ex "www.google.com - host unknown".
Sannolikheten ökar lite ju fler /udp-portar som spärras - lista nedan.

Tyvärr har nuvarande utrustning inget bra sätt att skilja ut vad som
är DNS-svar och vad som är annan /udp-trafik, annat än att titta på
kombinationen av portnummer i inkommande paket. Vi överväger därför
att generellt tillåta inkommande /udp-trafik från den port som ska
användas för legitima DNS-svar, 53/udp, även till i övrigt spärrade
portar. Det är ett val mellan en något ökad risk för attacker och en
något ökad risk för DNS/namn-problem - eftersom detta är förväntade
undantag i en spärr så kommmer det förr eller senare att dyka upp
attacker som drar nytta av situationen.

Det betyder att man inte kan förlita sig på att spärren skyddar mot
allt, utan det gäller fortfarande att om man har tjänster igång så
måste dessa säkras och om de egentligen inte behövs så bör man stänga
av dem. Inget av detta är ny kunskap, men existensen av spärrar gör
att man lätt förleds att lita på dem istället.

	Gunnar Lindberg, IRT & CDG

>From runda-bordet-bounces at lists.chalmers.se  Thu Oct  2 14:42:19 2003
>Message-ID: <3F7C1D24.90805 at ita.chalmers.se>
>Date: Thu, 02 Oct 2003 14:42:12 +0200
>From: Erik Stenvall <ess at ita.chalmers.se>
>To: runda-bordet at rb.chalmers.se, itcr at lists.chalmers.se,
>netinfo at chalmers.se
>Cc: 
>Subject: [Runda-bordet] Mer information om
>	brandväggar/spärrar

>Hej!

>Som utlovat kommer lite mer information om kommande 
>blockeringar/brandväggar mellan Chalmers och Internet. Nedan har jag 
>bifogat en artikel
>(http://www.irt.chalmers.se/Artiklar/2003-10-01_1.php).

>/Erik Stenvall, Chalmers IRT
>====================================================================

>    [1]Chalmers                          [2]INSIDAN
>    [3]Chalmers datorincidentgrupp (IRT)

>    2003-10-02 14.30
>               Första fasen i införande av brandvägg för Chalmers
> ...
>  Schema för blockering av tjänster
>    on 8/10 Windowstjänster
>      135/tcp 135/udp
>      137/tcp 137/udp
>      138/tcp 138/udp
>      139/tcp 139/udp
>      445/tcp 445/udp
>    må 13/10 rcpbind
>      111/tcp 111/udp
>    on 15/10 MsSQL-server
>      1433/tcp 1433/udp
>      1434/tcp 1434/udp
>    må 20/10 tftp, snmp, syslog
>       69/udp
>      161/udp
>      162/udp
>      514/udp
>    on 22/10 printer
>      515/tcp
>    må 29/10 X
>      6000/tcp 6000/udp
>      7100/tcp 7100/udp
>    on 3/11 nfs
>      2049/tcp 2049/udp
>    Under övervägande
>    må 5/11 Universal PnP
>      5000/tcp 5000/udp
>    on 10/11 Höga X-portar
>      6001-6063/tcp 6001-6063/udp

More information about the Driftstorning mailing list