Omezení lokálních služeb
Internet není bezpečný prostor a všechna zařízení do něj připojovaná by s tím měla počítat a být na to připravena. V praxi se však ukazuje, že v univerzitní síti WEBnet se vyskytuje velmi mnoho (řádově stovky) zařízení, typicky malých tiskáren a dalších multifinkčních zařízení, která neumožňují nastavit ani základní omezení přístupu, a tak mohou být snadno zneužita. Dále značné množství zařízení poskytuje síťové služby, které lze snadno zneužít zejména k odrážení nebo amplifikaci DDoS útoků a jejich přístupnost celému světu je nebezpečná. Proto je bohužel nutné filtrovat část provozu na síťové úrovni.
Co je to lokální služba
Pod pojmem lokální služba se rozumí taková síťová služba, jejíž typické využití má smysl pouze z lokální (univerzitní) sítě WEBnet a její dostupnost pro celý svět není žádoucí. Typickým příkladem může být například protokol SNMP pro správu zařízení, zasílání tiskových úloh na tiskárny apod.
Jak jsou lokální služby omezeny
Omezení se týká všech potenciálně nebezpečných lokálních služeb. Příslušné porty těchto služeb jsou blokovány na hranici sítě WEBnet, tj. jsou dostupné pouze z adresních rozsahů 147.228.0.0/16 a 2001:718:1801::/48. Potřebuje-li však uživatel lokální službu použít vzdáleně (např. z domova) má možnost využít službu VPN a získat tak IP adresu z rozsahu sítě WEBnet.
Přehled omezených lokálních služeb
Služba | Protokol | Port |
---|---|---|
qotd | UDP | 17 |
chargen | UDP | 19 |
pop2 | TCP | 109 |
ntp | UDP | 123 |
rpc | TCP | 135 |
netbios-ns | TCP | 137 |
netbios-ns | UDP | 137 |
netbios-dgm | TCP | 138 |
netbios-dgm | UDP | 138 |
netbios-ss | TCP | 139 |
netbios-ss | UDP | 139 |
snmp | TCP | 161 |
snmp | UDP | 161 |
lpd/lpr | TCP | 515 |
ssdp | UDP | 1900 |
jetdirect | TCP | 9100 |