(picture form http://www.livescience.com/)
在中心工作也快2年了,這段時間應該是我出社會後it技能快速增長的經歷
很感謝中心有這樣的環境資源及長官們的信任
對於中心服務的「客戶」人數高達數萬,少說會連上internet的設備也有數千台
身為一個中心的網管人員,不可能一台一台的去設定security上的問題
很多時候得透過中心的core firewall進行管制
而firewall上那個port要不要不要開?那個服務又要不要鎖? 變成一種藝術,因為你管太嚴客戶就會反彈
管太鬆又常發生一些資安事件....so you know~~
以下對於建議應該要管制的服務進行說明(以下都是外部internet進入內部的情況)
1.DNS
如果你的單位有自行架設DNS,遞迴查詢攻擊上的防護一定要做,才不會變成public DNS任人使用
但往往有問題的不是你管的DNS,而是客戶們自己架的DNS防護做的很爛,而你又是他們上層查詢DNS
就會發生,有心人士利用客戶們的DNS進行異常連線,而客戶的DNS又透過你的DNS去進行對外異常連線
簡單講就是你的DNS被當跳板了
可以的話,對下DNS port要鎖,只開放有架dns server的ip開放就好了,如果有發生異常,一定要叫你的客戶調整
才不會發生DNS放大or拆射攻擊
2.SIP
中心前一定就曾發生過一次外面來打客戶的SIP port,結果session高達50多萬,搞的整個對外網路都龜速
SIP port不用講就是鎖,開SIP Server的ip使用就好了
3.NTP
有一陣子也很流行NTP放大攻擊,基本上會有需要自行架設NTP Server的需求是很少的
一樣有需要的再開,其他直接鎖吧
4.網路芳鄰、netBIOS
真的不要客氣,這些137~139、445請直接鎖起來
5.mySQL、MS-SQL、telnet、ssh、http(80、8080)、https、遠端桌面(3389)、uPNP、snmp
有些人就是很愛不停try這些port,沒用到的就鎖吧,給有用的開就行了
6.trojan 6667
木馬在用的請鎖
7.p2p軟體(內外都要)
如果你的設備有支援L7,設定會很方便,可以的話都鎖一鎖
8.AP防護
如果說你的客戶很多,把80、22全鎖,你很常會遇到一些要求客制化的客戶要求你開放這些port
搞的你三不五時就會接到電話or要加ip很累,甚至無法管制結果這些port,變成預設是開放的
那至少在ap這一塊你要堅持下來,ap的80、22、23、443、161請鎖住(讓內部or特定ip能連線管理就好了)
可以的話uPNP SSDP 1900也鎖吧(不過可能會有人和你哇哇叫他連ap時用什麼程式很慢之類)
為什麼AP要特別防護呢? 因為如果你的ap是nat mode,一但有資安事件時 你很難查出是他下面那個client在搞鬼
9.session limit (DDOS防護)
一般的firewall真的有大量的DDOS是要特別的設備才真的能擋的住的,但如果是「基本」的DDOS防護比較好的firewall還是能做的
session limit、TCP、UDP、ICMP的flood防護,記得要設連線上限,至於要設多少要看你的環境情況
像我是設定200~300給單一ip使用。
以上,其他有想到再寫吧
