Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Защита сервака, ДХЦП и ДНС
 
Есть такая вот проблемка.
У нас локалка с инетом, инет разадаётся НАТом. Внутри сети организован ДХЦП - сервер, который разадаёт ИПы, и ДНС - сервер. Количество абонентов сети растёт. и как следствие появляются разные умники. ДХЦП - сервер и ДНС - сервер совмещены на одной машине.
Вопрос состоит в том, как мне защитить сервак ? что вы можете посоветовать ? какие порты ему жизнено не обхадимы а какие можно закрыть. Сервак админится удалённо, ремут десктопом и только
 
Да забыл сказать, сервак на Windows 2003 Enterprise Edition.
 
ну по мойму ты сам ответил на свой вопрос - оставь DNS и DHCP. Остальное закрой. Или что то ты другое хотел услышать?
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Получается значит мне нада оставить открытыми порты:
53/tcp      53/udp     67/udp     68/udp

и всё ?
На данный момент при сканировании тем же ЛанСпаем там открыты:
TCP
21 ftp
25 smtp
53 DNS
88 Kerberos
110 pop3
135 epmap
389 ldap
445 microsoft DS
593 http rpc epmap
636 ldaps
1025 blajack
3268 microsoft global catalog
3269 microsoft global catalog LDAP/SSL
3389 remote desctop

UDP
88 Kerberos
123 NTP
389 ldap
445 microsoft DS
500 isakmp
4500 ipsecNAT-traversal

стоко всего разного это меня прям смууущает =)
и ещё я не наблюдаю в этом списке при сканировании любым сканером открытого порта под номером 67/68  которые используют ДХЦП килент и ДХЦП сервер.
мож кто подскажет почему ?
и ещё может существуют какие либо обязательные порты и зависимы без которых ДНС и ДХЦП работать не будут ?


И ещё скажите какие порты из данного списка САААААВСЕМ не нужны и являются хорошими дырками =) .
 
А Kerberos тебе не нужен? А Remote Desktop тоже выключать будешь?
Ldap Microsoft DS - их тоже желательно
почтового сервака нет?
 
Цитата
Pchol пишет:
3268 microsoft global catalog
3269 microsoft global catalog LDAP/SSL

чуть не забыл. Тоже нужно
 
вообще-то судя по скану сервер выполняет функции контролллера домена, ftp, и почтового сервера pop3/smtp.
Ты уверен что он  dns/dhcp и все?
 
Раньше этот же комп выполнял функцию контролера домена.
Сейчас домен в принципе упразднили...(жаль =( ).
А зачем керберос ?

Цитата
Ldap Microsoft DS - их тоже желательно
а зачем ? =)
Ремут десктоп эт панятно
Файл сервера там нет, залез в функции сервера и обнаружил роль ФТП сервера. не поняимаю зачем это делали мои предшественники =)... убрал...
Почтового сервера не было и не понимаю почему его функция тоже включена... убрал...

Цитата
3268 microsoft global catalog
3269 microsoft global catalog LDAP/SSL

Зачем ? =) Абъясните глупцу.
На скока я понимаю это что то связанное с актив дерикторией домена.

И ещё для использования ДНС должен полюбому быть организован домен на сколькоя понимаю да ?  в связи с этим вопрос.. так как этот комп раньше являлся контроллером домена что из выше перечисленного ещё следует оставить.
 
Цитата
Pchol пишет:
А зачем керберос ?

хотел же безопасность, это безопасный протокол винды, можно конечно и NTLM но зачем тогда эта тема :)

LDAP (Lightweight Directory Access Protocol) - Протокол Доступа к Директориям(каталогам). Я думаю он все таки нужен, да и на безопасность не ахти как влияет.

3268 microsoft global catalog
3269 microsoft global catalog LDAP/SSL

объясняю - я так же как и offtopic сделал вывод что у тебя домен со всеми службами судя по открытым портам, и ты прав это действительно AD

Цитата
Pchol пишет:
И ещё для использования ДНС должен полюбому быть организован домен на сколькоя понимаю да ?

нет. Для AD нужен DNS но не наоборот.
 
Исхродя из всего выше сказаного делаем такие выводы...
1) Если упраздняем контроллер домена на этой машине (в принципе он не нужен больше раз доменом не пользуемся) то оставляем открытыми порты:
TCP
53 DNS
88 Kerberos
389 ldap
3389 remote desctop
UDP
88 Kerberos
389 ldap

2) Если оставляем контроллер домена с надеждой когда нибудь на него вернуться то ко всему вышепричесленному добавляем ещё:
TCP
3268 microsoft global catalog
3269 microsoft global catalog LDAP/SSL

и ещё так и не ответили зачем нужен 445й порт ? настолько ли он важен или всё таки стоит прикрыть ?
 
Неверно.
Упраздение контроллера домена оставит открытым

Цитата
Pchol пишет:
TCP 21 ftp
25 smtp
53 DNS
110 pop3
135 epmap
445 microsoft DS
593 http rpc epmap
3389 remote desctop

UDP
445 microsoft DS
500 isakmp
4500 ipsecNAT-traversal

Что бы закрыть 53 - деинстралировать DNS, 25, 593 - IIS, 110 - POP Server
445 - остановить службу Server (или File And Print Sharing её в привязках TCP/IP).
135 отключить нельзя, но можно прибайдить его к 127.0.0.1 rpccfg.

что касаеся UDP - имхо на сервере поднят RRAS в режиме VPN - задизаблить RRAS или остановить службу IPSec policy Agent.
 
Как я писал почтовый и файл-сервер вырублены следовательно порты  21, 25й и 110й уже отрублены.
53й убирать нечево ибо как я уже обмолвился в самом начале это и есть сервер выполняющий роли ДНС и ДХЦП
Снова глупые вопросы =)
593й на  сколько кртитчно закрытие данного порта ?
RRAS  выключили.
445й, остановка службы Server на что может повлиять ? как это может сказаться на работе ДНС и ДХЦП сервера ?
 
а и ещё мне никто так и не ответил почему не видно 67/68й потры ? Это же как раз и есть порты ДХЦП ?
 
Цитата
Pchol пишет:
593й

А зачем тебе нужен RPC Over HTTP?


Цитата
Pchol пишет:
445

К общим папкам на сервере не будет соединения.

Цитата
Pchol пишет:
не видно 67/68й потр

а кто его знает. поробуй
nmap -sU -p 67 <serverip>
 
Если упразнить домен то Ldap не особо нужен будет :)
Страницы: 1
Читают тему