URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 8520
[ Назад ]

Исходное сообщение
"Закрытие трояских портов"
Отправлено Serykh , 16-Авг-05 15:44

Достали трояны в сети.
Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов, а не лазить по инету в поисках. Может кто-нибудь подскажет, где такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
Подскажите, кто как борется на циске с троянами, вирусами и т.п.

Содержание

Закрытие трояских портов,Serykh, 21:42 , 16-Авг-05
- Закрытие трояских портов,ilya, 09:38 , 17-Авг-05
  - Закрытие трояских портов,Serykh, 12:15 , 17-Авг-05
    - Закрытие трояских портов,Volosatiy_slon, 16:26 , 24-Авг-05
    - Закрытие трояских портов,Serykh, 16:51 , 24-Авг-05
      - Закрытие трояских портов,PPP, 16:19 , 25-Авг-05
      - Закрытие трояских портов,ilya, 19:49 , 25-Авг-05
        
        Закрытие трояских портов,Сайко, 08:29 , 26-Авг-05
        
        Закрытие трояских портов,Serykh, 09:42 , 26-Авг-05
        
        Закрытие трояских портов,batyr2003, 18:47 , 25-Дек-05
        
        Закрытие трояских портов,Serykh, 10:04 , 26-Дек-05
        
        Закрытие трояских портов,Serykh, 09:59 , 26-Дек-05

Сообщения в этом обсуждении

"Закрытие трояских портов"
Отправлено Serykh , 16-Авг-05 21:42

Неужели никто не борется.
Знакомый админ даже пакеты определенного размера дропает.
>Достали трояны в сети.
>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>Подскажите, кто как борется на циске с троянами, вирусами и т.п.

"Закрытие трояских портов"
Отправлено ilya , 17-Авг-05 09:38

>Неужели никто не борется.
>Знакомый админ даже пакеты определенного размера дропает.
>
>>Достали трояны в сети.
>>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>>Подскажите, кто как борется на циске с троянами, вирусами и т.п.
а где вы закрываете порты?
на интерфейса LAN? но тут самым эффективным является борьба с троянами средствами ПО, антивирусы всякие, сканеры, ИДС. зачем бороться с последствиями, если можно их и не иметь?
если на внешнем интерфейса - но тут ИМХО необходимо закрыть все что не нужно.

"Закрытие трояских портов"
Отправлено Serykh , 17-Авг-05 12:15

Это часть листа по теме.
На внешнем и внутреннем закрываю порты
deny udp any any eq tftp
deny tcp any any eq 135
deny udp any any eq 135
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny tcp any any eq 139
deny udp any any eq netbios-ss
deny udp any any eq 445
deny tcp any any eq 445
deny tcp any any eq 593
deny udp any any eq 1433
deny udp any any eq 1434
deny tcp any any eq 1433
deny tcp any any eq 1434
deny tcp any any eq 4444

>>Неужели никто не борется.
>>Знакомый админ даже пакеты определенного размера дропает.
>>
>>>Достали трояны в сети.
>>>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>>>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>>>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>>>Подскажите, кто как борется на циске с троянами, вирусами и т.п.
>
>а где вы закрываете порты?
>на интерфейса LAN? но тут самым эффективным является борьба с троянами средствами
>ПО, антивирусы всякие, сканеры, ИДС. зачем бороться с последствиями, если можно
>их и не иметь?
>если на внешнем интерфейса - но тут ИМХО необходимо закрыть все что
>не нужно.

"Закрытие трояских портов"
Отправлено Volosatiy_slon , 24-Авг-05 16:26

А не проще поступить по принцыпу "что не разрешено - запрещено" и составить ACL'ы по типу
permit ...
permit ...
.
.
deny any any
ИМХО - так правильней

"Закрытие трояских портов"
Отправлено Serykh , 24-Авг-05 16:51

Логично.
Попытался закрыть 2000 и 2001 порты.
Сразу позвонил клиент и сказал, что у него работает какой то клиент по этим портам.
В общем случае два подхода:
В первом закрываем всё и открываем то что нужно. Хороший подход для локальной сети, в которой известны потребности.
Второй открываем всё и закрываем то что не нужно. Хороший подход для магистральных канлов и больших сетей где потребности не известны.
В первом случае имеем геморой с клиентами, а во втором с вирусами.
>Это часть листа по теме.
>На внешнем и внутреннем закрываю порты
>
>deny udp any any eq tftp
>deny tcp any any eq 135
>deny udp any any eq 135
>deny udp any any eq netbios-ns
>deny udp any any eq netbios-dgm
>deny tcp any any eq 139
>deny udp any any eq netbios-ss
>deny udp any any eq 445
>deny tcp any any eq 445
>deny tcp any any eq 593
>deny udp any any eq 1433
>deny udp any any eq 1434
>deny tcp any any eq 1433
>deny tcp any any eq 1434
>deny tcp any any eq 4444
>
>
>>>Неужели никто не борется.
>>>Знакомый админ даже пакеты определенного размера дропает.
>>>
>>>>Достали трояны в сети.
>>>>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>>>>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>>>>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>>>>Подскажите, кто как борется на циске с троянами, вирусами и т.п.
>>
>>а где вы закрываете порты?
>>на интерфейса LAN? но тут самым эффективным является борьба с троянами средствами
>>ПО, антивирусы всякие, сканеры, ИДС. зачем бороться с последствиями, если можно
>>их и не иметь?
>>если на внешнем интерфейса - но тут ИМХО необходимо закрыть все что
>>не нужно.

"Закрытие трояских портов"
Отправлено PPP , 25-Авг-05 16:19

>Логично.
>Попытался закрыть 2000 и 2001 порты.
>Сразу позвонил клиент и сказал, что у него работает какой то клиент
>по этим портам.
>
>В общем случае два подхода:
>
>В первом закрываем всё и открываем то что нужно. Хороший подход для
>локальной сети, в которой известны потребности.
>
>Второй открываем всё и закрываем то что не нужно. Хороший подход для
>магистральных канлов и больших сетей где потребности не известны.
>
>В первом случае имеем геморой с клиентами, а во втором с вирусами.
>
>
>>Это часть листа по теме.
>>На внешнем и внутреннем закрываю порты
>>
>>deny udp any any eq tftp
>>deny tcp any any eq 135
>>deny udp any any eq 135
>>deny udp any any eq netbios-ns
>>deny udp any any eq netbios-dgm
>>deny tcp any any eq 139
>>deny udp any any eq netbios-ss
>>deny udp any any eq 445
>>deny tcp any any eq 445
>>deny tcp any any eq 593
>>deny udp any any eq 1433
>>deny udp any any eq 1434
>>deny tcp any any eq 1433
>>deny tcp any any eq 1434
>>deny tcp any any eq 4444
>>
>>
>>>>Неужели никто не борется.
>>>>Знакомый админ даже пакеты определенного размера дропает.
>>>>
>>>>>Достали трояны в сети.
>>>>>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>>>>>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>>>>>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>>>>>Подскажите, кто как борется на циске с троянами, вирусами и т.п.
>>>
>>>а где вы закрываете порты?
>>>на интерфейса LAN? но тут самым эффективным является борьба с троянами средствами
>>>ПО, антивирусы всякие, сканеры, ИДС. зачем бороться с последствиями, если можно
>>>их и не иметь?
>>>если на внешнем интерфейса - но тут ИМХО необходимо закрыть все что
>>>не нужно.

Первый вариант всеже лучше. Если что, то клиент позвонит и скажет что ему надо такой-то порт, открыл и порядок.

"Закрытие трояских портов"
Отправлено ilya , 25-Авг-05 19:49

>Второй открываем всё и закрываем то что не нужно. Хороший подход для
>магистральных канлов и больших сетей где потребности не известны.
в магистральных сетях (ИМХО) обычно не заботят трояны и вирусы. Правда бывают исключения типа сламера и различных DDOS атак. Провайдер дает клиенту трубу пропускной способностью 10мбит. А что он там передает - его (клиента) личное дело. Если его беспопоит лишний трафик от всяких вирусов - ну тогда опять таки он должен сказать что ему пускать или нет, т.е. возвращаемся к пункту 1 ;)

>
>В первом случае имеем геморой с клиентами, а во втором с вирусами.
>
>
>>Это часть листа по теме.
>>На внешнем и внутреннем закрываю порты
>>
>>deny udp any any eq tftp
>>deny tcp any any eq 135
>>deny udp any any eq 135
>>deny udp any any eq netbios-ns
>>deny udp any any eq netbios-dgm
>>deny tcp any any eq 139
>>deny udp any any eq netbios-ss
>>deny udp any any eq 445
>>deny tcp any any eq 445
>>deny tcp any any eq 593
>>deny udp any any eq 1433
>>deny udp any any eq 1434
>>deny tcp any any eq 1433
>>deny tcp any any eq 1434
>>deny tcp any any eq 4444
>>
>>
>>>>Неужели никто не борется.
>>>>Знакомый админ даже пакеты определенного размера дропает.
>>>>
>>>>>Достали трояны в сети.
>>>>>Закрываю порты на циске, но хотелось бы иметь периодически обновляемый список портов,
>>>>>а не лазить по инету в поисках. Может кто-нибудь подскажет, где
>>>>>такой имеется. В идеале хотелось бы автоматизировать процесс обновления.
>>>>>Подскажите, кто как борется на циске с троянами, вирусами и т.п.
>>>
>>>а где вы закрываете порты?
>>>на интерфейса LAN? но тут самым эффективным является борьба с троянами средствами
>>>ПО, антивирусы всякие, сканеры, ИДС. зачем бороться с последствиями, если можно
>>>их и не иметь?
>>>если на внешнем интерфейса - но тут ИМХО необходимо закрыть все что
>>>не нужно.

"Закрытие трояских портов"
Отправлено Сайко , 26-Авг-05 08:29

>>Второй открываем всё и закрываем то что не нужно. Хороший подход для
>>магистральных канлов и больших сетей где потребности не известны.
>в магистральных сетях (ИМХО) обычно не заботят трояны и вирусы. Правда бывают
>исключения типа сламера и различных DDOS атак. Провайдер дает клиенту трубу
>пропускной способностью 10мбит. А что он там передает - его (клиента)
>личное дело. Если его беспопоит лишний трафик от всяких вирусов -
>ну тогда опять таки он должен сказать что ему пускать или
>нет, т.е. возвращаемся к пункту 1 ;)
Скажу честно, что провайдеров не очень волнуют атаки на клиента, если самому провайдеру они не доставляют хлопот. Т.к. прописывание всяких ACL для клиентов на оборудовании в сторону клиента серьезно увеличивает загрузку CPU. Поэтому провайдеры идут на это с неохотой. Кинечно имеются ввиду крупные провайдеры, у которых большое количество клиентов - ТТК РТК и т.д.

"Закрытие трояских портов"
Отправлено Serykh , 26-Авг-05 09:42

Полностью согласен, что они не предпринимают какие-нибудь меры без серьезных на то оснований.
Спасибо за диалог. Похоже возможен только вариант с полным закрытием, или вариант - не предпринимать никаких мер, пока явно не возникнет потребность.
>>>Второй открываем всё и закрываем то что не нужно. Хороший подход для
>>>магистральных канлов и больших сетей где потребности не известны.
>>в магистральных сетях (ИМХО) обычно не заботят трояны и вирусы. Правда бывают
>>исключения типа сламера и различных DDOS атак. Провайдер дает клиенту трубу
>>пропускной способностью 10мбит. А что он там передает - его (клиента)
>>личное дело. Если его беспопоит лишний трафик от всяких вирусов -
>>ну тогда опять таки он должен сказать что ему пускать или
>>нет, т.е. возвращаемся к пункту 1 ;)
>
>Скажу честно, что провайдеров не очень волнуют атаки на клиента, если самому
>провайдеру они не доставляют хлопот. Т.к. прописывание всяких ACL для клиентов
>на оборудовании в сторону клиента серьезно увеличивает загрузку CPU. Поэтому провайдеры
>идут на это с неохотой. Кинечно имеются ввиду крупные провайдеры, у
>которых большое количество клиентов - ТТК РТК и т.д.

"Закрытие трояских портов"
Отправлено batyr2003 , 25-Дек-05 18:47

привет Serykh
вопрос а у Вас нет еще дополнительного списка запрещенных портов
просто у меня такая же проблема, но закрывать все порты а потом открывать по просьбе клиентов я не могу слишком большой трафик

"Закрытие трояских портов"
Отправлено Serykh , 26-Дек-05 10:04

Я закрываю следующее
access-list 100 deny   udp any any eq tftp
access-list 100 deny   udp any any eq 135
access-list 100 deny   udp any any eq netbios-ns
access-list 100 deny   udp any any eq netbios-dgm
access-list 100 deny   udp any any eq netbios-ss
access-list 100 deny   udp any any eq 445
access-list 100 deny   udp any any eq 593
access-list 100 deny   udp any any eq 1433
access-list 100 deny   udp any any eq 1434
access-list 100 deny   udp any any eq 4444
access-list 100 deny   tcp any any eq 135
access-list 100 deny   tcp any any eq 137
access-list 100 deny   tcp any any eq 138
access-list 100 deny   tcp any any eq 139
access-list 100 deny   tcp any any eq 445
access-list 100 deny   tcp any any eq 593
access-list 100 deny   tcp any any eq 1433
access-list 100 deny   tcp any any eq 1434
access-list 100 deny   tcp any any eq 4444
access-list 100 deny   tcp any any eq 12345
access-list 100 deny   tcp any any eq 27374
если кто дополнит, буду благодарен.
>привет  Serykh
>вопрос а у Вас нет еще дополнительного списка запрещенных портов
>просто у меня такая же проблема, но закрывать все порты а потом
>открывать по просьбе клиентов я не могу слишком большой трафик

"Закрытие трояских портов"
Отправлено Serykh , 26-Дек-05 09:59

Я закрываю
access-list 100 deny   udp any any eq tftp
access-list 100 deny   udp any any eq 135
access-list 100 deny   udp any any eq netbios-ns
access-list 100 deny   udp any any eq netbios-dgm
access-list 100 deny   udp any any eq netbios-ss
access-list 100 deny   udp any any eq 445
access-list 100 deny   udp any any eq 593
access-list 100 deny   udp any any eq 1433
access-list 100 deny   udp any any eq 1434
access-list 100 deny   udp any any eq 4444
access-list 100 deny   tcp any any eq 135
access-list 100 deny   tcp any any eq 137
access-list 100 deny   tcp any any eq 138
access-list 100 deny   tcp any any eq 139
access-list 100 deny   tcp any any eq 445
access-list 100 deny   tcp any any eq 593
access-list 100 deny   tcp any any eq 1433
access-list 100 deny   tcp any any eq 1434
access-list 100 deny   tcp any any eq 4444
access-list 100 deny   tcp any any eq 12345
access-list 100 deny   tcp any any eq 27374
access-list 100 deny   tcp any any eq 31337
остальное по мере необходимости.
Если кто дополнит, буду благодарен.

>Полностью согласен, что они не предпринимают какие-нибудь меры без серьезных на то
>оснований.
>Спасибо за диалог. Похоже возможен только вариант с полным закрытием, или вариант
>- не предпринимать никаких мер, пока явно не возникнет потребность.
>
>>>>Второй открываем всё и закрываем то что не нужно. Хороший подход для
>>>>магистральных канлов и больших сетей где потребности не известны.
>>>в магистральных сетях (ИМХО) обычно не заботят трояны и вирусы. Правда бывают
>>>исключения типа сламера и различных DDOS атак. Провайдер дает клиенту трубу
>>>пропускной способностью 10мбит. А что он там передает - его (клиента)
>>>личное дело. Если его беспопоит лишний трафик от всяких вирусов -
>>>ну тогда опять таки он должен сказать что ему пускать или
>>>нет, т.е. возвращаемся к пункту 1 ;)
>>
>>Скажу честно, что провайдеров не очень волнуют атаки на клиента, если самому
>>провайдеру они не доставляют хлопот. Т.к. прописывание всяких ACL для клиентов
>>на оборудовании в сторону клиента серьезно увеличивает загрузку CPU. Поэтому провайдеры
>>идут на это с неохотой. Кинечно имеются ввиду крупные провайдеры, у
>>которых большое количество клиентов - ТТК РТК и т.д.