BESTE PRAKSIS FOR PAKKEFILTRERING I UH-SEKTOREN

Like dokumenter
BESTE PRAKSIS FOR PAKKE- FILTRERING I UH-SEKTOREN. UNINETT Fagspesifikasjon. UFS nr.: 106 Versjon: 1

sosiale behov FASE 2: Haug barnehage

Oppgave 1 a)1 b)3 c)2 d)3 e)3 f)2 g)3 h)2 i)1 j)2 k)1 l)2

Utvalg med tilbakelegging

Hesteveddeløp i 8. klasse

Newtons lover i én dimensjon

Utvalg med tilbakelegging

Matematikk 3MX AA6524 / AA6526 Elever / privatister Oktober 2002

informasjon GENERELL barnehage

Billige arboresenser og matchinger

Slik bruker du pakken

32 bits head. type of ver. length fragment 16-bit identifier flgs offset. 32 bit source IP address 32 bit destination IP address.

informasjon GENERELL barnehage

Pytagoreiske tripler og Fibonacci-tall

Stereo - ider / 138 dage r Eksterne ? Ca 352

trygghet FASE 1: barnehage

egenverd FASE 3: barnehage

AGENDA: Faste saker: Saksdokumente r

Newtons lover i to og tre dimensjoner

Veileder for adepter. Bruk mentor - unngå omveier

LEIRFJORD KOMMUNE SAKSFRAMLEGG. Saksbehandler: Britt Jonassen Arkiv: 144 F17 Arkivsaksnr.: 13/167-7 Klageadgang: Nei

Det vil gjennom hele skoleåret være stort fokus på de grunnleggende ferdighetene i KRLE. Disse vil bli tilpasset nivået elevene befinner seg på.

Oslo kommune Bydel Østensjø Bydelsadministrasjonen. Protokoll 7/14

STUDIESPESIALISERENDE

b) C Det elektriske feltet går radielt ut fra en positivt ladd partikkel.

Gammel tekst Ny tekst Begrunnelse. "Følgende dokumenter legges til grunn for virksomheten

Forelesning 9/ ved Karsten Trulsen

FORELESNINGSNOTATER I SPILLTEORI Geir B. Asheim, våren 2001 (oppdatert ). 0. INNLEDNING. Klassifikasjon av spill.

Problemet. Datamaskinbaserte doseberegninger. Usikkerheter i dose konsekvenser 1 Usikkerheter i dose konsekvenser 2

Emnenavn: Finansiering og investering. Eksamenstid: 4 timer. Faglærer: Tor Arne Moxheim

Betinget bevegelse

Brannmurer. fire wall (noun): A fireproof wall used as a barrier to prevent spread of fire.

Newtons lover i to og tre dimensjoner

STUDIEPLAN. Bachelorgradsprogrammet I statsvitenskap. 180 studiepoeng. Tromsø

Navn/tittel: Prosess 95, Vinterdrift

Oslo kommune Bydel Østensjø Bydelsadministrasjonen. Protokoll 7/14

/ dato Fagansv. arlig 2005 Drift og operasjon 2006 Skipstekniske tjenester 2007 Dokumentasjon og kvalitet 2009 Valgfritt programfag Maskin

Løsningsforslag til ukeoppgave 11

22. september Års- og vurderingsplan Fremmedspråk: spansk Selsbakk skole 8. trinn Kompetansemål etter 10.årstrinn

KJM Radiokjemidelen

Løsningsforslag for eksamen i FY101 Elektromagnetisme torsdag 12. desember 2002

Modul 1 15 studiepoeng, internt kurs Notodden/Porsgrunn

Fysikkolympiaden 1. runde 25. oktober 5. november 2004

Sikkerhets skannere. Sikkerhets/sårbarhets skannere

EKSAMEN FAG TFY4160 BØLGEFYSIKK OG FAG FY1002/MNFFY101 GENERELL FYSIKK II Lørdag 6. desember 2003 kl Bokmål

Sammendrag, uke 14 (5. og 6. april)

Unneberg skole ÅRSPLAN I NORSK. 5. trinn. Hele året. delta i rollespill, drama og opplesing. Kunne holde en enkel presentasjon.

Øving nr. 7. LØSNINGSFORSLAG

Innhold. 1. Innledning... 3

Veileder for mentorer

Fugletetraederet. 1 Innledning. 2 Navnsetting. 3 Geometriske begreper. Øistein Gjøvik Høgskolen i Sør-Trøndelag, 2004

Newtons lover i én dimensjon (2)

Energi Norge v/ingvar Solberg og Magne Fauli THEMA Consulting Group v/åsmund Jenssen og Jacob Koren Brekke 5. februar 2019

At energi ikke kan gå tapt, må bety at den er bevart. Derav betegnelsen bevaringslov.

INF329,HØST

Rettelser til. Øistein Bjørnestad Tom Rune Kongelf Terje Myklebust. Alfa. Oppgaveløsninger

Obligatorisk oppgave nr 2 i datakommunikasjon. Høsten Innleveringsfrist: 04. november 2002 Gjennomgås: 7. november 2002

REFERAT. Jorunn Lervik (Sosial- og helseavdeling/fylkesmannen) Marius Rønningen (Politiet) Arnfinn Brechan, leder, ønsket velkommen til møtet.

Forelesning 1. Introduksjon til (eller repetisjon av) TCP/IP Datasikkerhet

Løsning midtveiseksamen H12 AST1100

Betraktninger rundt det klassiske elektronet.

UNIVERSITETET I OSLO

Tjenester i Internett. E-post, HTTP, FTP, Telnet

Interkommunal rehabiliteringsplan

FYSIKK-OLYMPIADEN Andre runde: 4/2 2010

Notat i FYS-MEK/F 1110 våren 2006

Tips for prosjektoppgaven i FYS-MEK/F 1110 V2006

Oslo kommune Bydel Østensjø Bydelsadministrasjonen. Protokoll 07/14

a) C Det elektriske feltet går radielt ut fra en positivt ladet partikkel og radielt innover mot en negativt ladd partikkel.

Omfang Kontrakten vil i utgangspunktet omfatte 2 leasingbiler med serviceavtale som spesifisert nedenfor. Kontraktsperioden er

Mandag E = V. y ŷ + V ẑ (kartesiske koordinater) r sin θ φ ˆφ (kulekoordinater)

FORPROSJEKT TEMA: VOKSENOPPLÆRING. Vedtak Vedtak Vedtak Vedtak. Forstudie Forprosjekt Hovedprosjekt

Laboratorieøvelse i MNFFY1303-Elektromagnetisme Institutt for Fysikk, NTNU MAGNETISK HYSTERESE

Vektreduksjon - Livsstilskurs kr. 1200,- pr. mnd

Notater. Anne Vedø. Estimering for undersysselsetting i AKU basert på modellbasert imputering 2007/27. Notater

Praktisk informasjon. Forelesning 1. Forelesningsform. Lærebok. Lærebok forts. Eksamen. Forelesninger. ØvingerØvinger

Vedlegg 1. Ressursspørsmål. Ressursspørsmål X X. Kvalitetsutvikling. Kvalitet, dog ressurskrevende. Vurderes i budsjettarbeidet

Eksamen TFY 4240: Elektromagnetisk teori

Oslo kommune Bydel Østensjø Bydelsadministrasjonen. Møteinnkalling 7/14

Mot 5: Støy i bipolare transistorer

Løsningsforslag Fysikk 2 V2016

Kombinatorikk. MAT0100V Sannsynlighetsregning og kombinatorikk. Multiplikasjonssetningen

6107 Operativsystemer og nettverk

Overvåkning med Nagios

Om bevegelsesligningene

Magnetisk hysterese. 1. Beregn magnetfeltet fra en strømførende spole med kjent vindingstall.

Hva består Internett av?

SERVICEERKLÆRING 1. Innledning 2. Demokrati, samarbeid og medvirkning 3. Generell informasjon 4. Internasjonalisering

Løsningsforslag Fysikk 2 Høst 2014

Barns miljø og sikkerhet. og sikkerhet. 2 4 år. 2 4 år IS-2309 B

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

KTN1 - Design av forbindelsesorientert protokoll

Åpen halvtime Halvor Røsbak Feragen, foreldrerepresentant fra Abildsø barnehage ad sak 85/14.

Spørretime TEP Våren Spørretime TEP Våren 2008

Løsning øving 12 N L. Fra Faradays induksjonslov får vi da en indusert elektromotorisk spenning:

Formelsamling i medisinsk statistikk

Når du har gjort dette vil et vindu som indikert i figuren på neste side vises.

Brannmurer. fire wall (noun): A fireproof wall used as a barrier to prevent spread of fire.

Kapittel 2: Krumlinjet bevegelse

Årsplan norsk 1. kl Byskogen skole 2012/2013

Transkript:

BESTE PRAKSIS FOR PAKKEFILTRERING I UH-SEKTOREN UFS n.: 106 Vesjon: 1 Status:: Godkjent Dato: 20. 12. 2007 Tittel: Beste paksis fo pakkefilteing i UH-sektoen Abeidsguppe: GC-sikkehet Ansvalig: Rune Sydskjø Kategoi: Anbefaling

Sammendag Dette dokumentet skal gi en geneell anbefaling på hvodan man bø filtee datatafikk til/fa sine intene nettvek. Filteingen kan implementees med pakkefilte i en ute, elle ved egle i en bannmu. Odet pakkefilte vil bli bukt fo begge løsninge gjennom hele dokumentet. En eventuell egen oppskift (som e beskevet i egen UFS) vil beskive filteingen i detalj fo leveandøspesifikke podukte. Dokumentet skal gi en vudeing av tiltak som kan benyttes, og beskive ulempe/fodele ved disse. Innhold 1. Intoduksjon 2. Fohåndskunnskap 3. Pakkefilte i ute vesus bannmu 4. Åpent vesus Lukket 5. Risikovudeing 6. Basis kommunikasjon 7. Navn og kommentae 8. Stategi 9. Abeidsmåte 10. Definisjone 11. De vanligste potokollene 12. Oppkoblingspakke 13. Logging 14. De vanligste tjenestene 14.1 DNS 14.2 Mail 14.3 WWW 14.4 SSH 14.5 NTP 14.6 Telnet 14.7 FTP 14.8 Active Diectoy 14.9 Netbios/CIFS 14.10 IRC 14.11 SNMP 14.12 MSSQL 14.13 NOVELL 14.14 RPC 14.15 Multicast 14.16 Antispoofing 15. Minimumsoppsett 16. Middels oppsett 17. Avanset oppsett 18. Akutte tiltak 19. Vedlegg 20. Refeanse 21. Intellektuelt eieskap 22. Fofattes adesse

1. Intoduksjon Fosøk på datainnbudd, automatisete elle manuelle skje hve dag, og defo e det viktig å sike institusjonens essuse mot tilgang fa uvedkommende. Ved en sto institusjon e det ofte snakk om tusenvis av maskine, og det e ofte slik at noen maskine vil bli avglemt og demed ikke patchet/oppdatet. Det vise seg ofte også at systeme som telefoni/låsesysteme/kassaappaat etc. e systeme som ikke kan patches pga. at de kun fungee på gitte patchenivå. Slike systeme e det eksta viktig å isolee med pakkefilte. Det e viktig å meke seg at dette dokumentet inneholde et sett med anbefalinge og ikke kav. Målsetningen med dokumentet e ikke å væe uttømmende, men å beskive hovedtekkene i oppbyggingen av pakkefilte. 2. Fohåndskunnskap Det foutsettes at man ha fohåndskunnskap om TCP/IP og IP-basete tjeneste. 3. Pakkefilte i ute vesus bannmu I utgangspunktet må man igjennom det samme abeidet uansett hvilken løsning man velge fo implementasjon av pakkefilteing. Den samme kompetansen e nødvendig fo å fostå eglene, og de samme beslutningene må taes på hvilke tjeneste man skal tilby og hvilke man skal stenge. Bannmue ha som egel me funksjonalitet enn pakkefilteing på ute, og e minst like kompliset å sette opp og vedlikeholde som pakkefilte på en ute. Vi se ganske ofte at innkjøpte bannmue e konfiguet slik at den mest avansete funksjonaliteten ikke bli utnyttet. Pakkefilte på ute e defo ofte tilstekkelig, og mange kunne ha spat penge på å buke utee til filteing i stedet fo unødvendig dye bannmue. Pakkefilte på ute: Fodele: Ikke et poblem med flaskehals på gunn av filteing. Man få ikke flee viksomhetskitiske bokse i nettet som man må vedlikeholde og ha kompetanse på. Billig løsning (siden du ikke tenge å investee i nytt utsty). Ulempe: Ikke like mye funksjonalitet som bannmue, og kan bae filtee på headeinfomasjon i pakke. Bannmu: Fodele: Kan ha dyp pakkeinspeksjon, og demed bede sikkehet enn pakkefilte i ute. Ha som egel stateful inspection (se unde definisjonen alleede etablet tafikk) Ulempe: Kan væe en potensiell flaskehals i nettet da det nå stot sett e Gigabit hastighete i nettene. Ny viksomhetskitisk boks man må ha kompetanse på. Dyt. Både i innkjøp og i dift desom man ikke skal vedlikeholde boksen selv. Selgee ha en evne til å selge bannmuløsninge uten å nevne at det e abeid med oppsett og vedlikehold. Oppsett og vedlikehold av bannmue e minst like kompliset som oppsett og vedlikehold av pakkefilte på ute.

4. Åpent vs. lukket Et fosknings og utdanningsmiljø ha en filteingspolicy som gjene e foskjellig fa kommesielle bediftsnett, og det å finne balansegangen mellom tilstekkelig/effektiv sikkehet og åpenhet kan væe vanskelig. Tilgangen fa utsiden bø begenses til det som e nødvendig fo nomal dift, slik at slike såbae maskine ikke bli tilgjengelig fo angep fa utsiden. Samtidig e det viktig å tenke på behovet fo åpenhet, ende-til-ende funksjonalitet og ytelse. Svæt enkle egle kan hjelpe veldig mye, slik at institusjone som ikke ha noe filteing fa fø kan ved hjelp av enkle men effektive egelsett bede sikkeheten betaktelig. Institusjone ved UH-sektoen e ofte oppdelt i flee nett/vlan, og en del av teksten i dette dokumentet foutsette en slik oppdeling. Minde institusjone som ha bae ett nett kan se bot ifa teksten som omhandle tafikk mellom intene nett. 5. Risikovudeing Vude abeidsmengden vesus nyttevedien på abeidet du gjø. Det e en balansegang på hvo mye tid det e fonuftig å buke på oppsett og vedlikehold av pakkefilte. Desom du se at du vil ende opp med mange og uovesiktlige egle kan det ofte lønne seg å ta snaveie. Dette vil kanskje føe til me åpenhet enn ønskelig, men samtidig vil det lette vedlikeholdet og oppsettet betaktelig. I design av egle vil du ende opp i mange avgjøelse hvo du må spøe deg selv om dette e en tjeneste som skal væe lovlig, elle om tjenesten e fobundet med isiko. Du vil kanskje ikke komme fem til et konket sva, så det bli opp til din oganisasjon å komme fem til en policy. 6. Basis kommunikasjon Det e veldig viktig å meke seg at potokolle kommunisee toveis. De vil næmest alltid ha en side som sende melding/signal, og en annen side som sende et sva tilbake av en elle annen type. Så man må med ande od huske på at pakke flyte begge veie. Det e fo eksempel lite nytte i å tillate web tafikk ut mot veden, desom du ikke tillate svapakkene å komme tilbake igjen. 7. Navn og kommentae Ved å sette foklaende navn på filtene kan det væe mye enklee å skaffe seg ovesikt. Et eksempel på dette kan væe å navngi et utgående filte på et administasjonsnett. admout.acl. Nummeees filtene kan det fo eksempel væe en ide å buke patall til utgående filte, og oddetall til inngående. Kommentae e også viktige nå man skal lage egle. Reglene kan ofte væe vanskelig å fostå, og inneholde gjene IP-adesse i stedet fo navn på essuse. En foklaende kommenta kan defo lette lesingen av eglene betaktelig. 8. Stategi Default pemit vesus default deny Det e i utgangspunktet to foskjellige måte man kan lage egle i et pakkefilte: Alt som ikke e tillatt bli nektet. (Stengt ende) Alt som ikke e nektet bli tillatt. (Åpen ende)

Det e den føste av disse som vi buke mest. Men vi ha også buk fo den ande metoden i visse sammenhenge. I såkalte sugefilte e dette en metode vi buke. En kombinasjon av disse e også vanlig å buke. Dette kan væe desom man ha enkelte tjeneste man vil spee ut, men ikke likevel ha åpen ende. 9. Abeidsmåte Fo å kunne etablee fonuftige egle må man ha ovesikt ove sitt eget nett og tjeneste. Dette e nødvendig uansett om man selv skal lage eglene, elle man skal betale noen ande fo å gjøe det. Det e til slutt institusjonens ansva at eglene e hensiktsmessig, og da må man ha ovesikt ove sine essuse. UNINETT ha ove lang tid væt med på å utabeide nye egle fo sine medlemsinstitusjone. Metoden som bli bukt keve utstakt buk av logging. Legg inn innslag på de tjeneste du vet skal væe tillatt. Dette bli en liste ove godkjente tjeneste. Lag en egel til slutt som tillate alt annet, men som også logge alle innslag i denne ene egelen. Du kan også velge å ikke tillate denne tafikken, men da kan du ende opp med at bukene oppleve tjeneste som ikke vike lenge. (Og efaingsmessig klae du ikke å «huske» å ta med alle godkjente tjeneste.) Nå vil du ha en fin logg ove hvilke tjeneste du ikke ha gjot ede fo i din liste ove godkjente tjeneste. Se i logg ette tjeneste/tafikk du vil skal tillates, og utvid den oppinnelige lista ove godkjente tjeneste. Tafikk som bli fanget opp i de nye innslagene vil da ikke logges lenge. Ettehvet ha du edegjot fo all den godkjente tafikken du vil skal væe tillatt, og du vil kun ha «støy» igjen i loggen. Du kan da velge å snu den siste egelen som tillate alt til å nekte alt i stedet. Ettehvet vil det sannsynligvis dukke opp en del ting som må tillates, som man ha ovesett i føste omgang. Efaingsmessig e det veldig vanskelig å klae å fange opp all tafikk som skal tillates. Så væ fobeedt på at noe ikke vil vike. Desom du ha mye støy i loggen (fa scanninge etc.) unde etableing av filtene kan det væe vanskelig å finne de innslagene som du faktisk e inteesset i. Da kan det væe en ide å filtene bot/nekte den støyende tafikken eksplisitt i en egen egel uten logg fo å få den bot ifa loggen. 10. Definisjone Må - Dette punktet må følges desom tjenesten skal fungee. Anbefales - Ut fa sikkehetshensyn anbefales disse punkt å følges. Alleede etablet tafikk - fo tafikk som fo eksempel e etablet fa intene essuse kan man ved TCP lage en egel som tillate svapakke tilbake. Bannmue omtale dette ofte som stateful inspection. De kan også ha denne funksjonaliteten fo UDP også, selv om vi he ikke kan væe sikke på at denne tafikken e etablet fa innsiden. IP - IP ligge på et lag unde TCP og UDP. Filteing på potnumme gi ingen mening he, og man kan bae filtee på avsende og mottake addesse og ikke pote. TCP se nedenfo

UDP se nedenfo ICMP se nedenfo URPF Unicast evese path fowading (Antispoofing) Åpen ende - Se unde punkt 8 stategi. Lukket ende - Se unde punkt 8 stategi. Dialogetning - Dialogetning fotelle hvilken vei en sesjon bli satt opp. Hvem e det som skal nå hvem? En dialog som bli satt opp fa intene essuse vil ha en utgående oppkobling. Men du vil ha både pakke og utgående pakke. Det samme gjelde fo en inngående oppkobling. Det e to vidt foskjellige ting å sette opp egle fo de to foskjellige dialogetningene. o Utgående oppkobling Intene essuse pøve å nå en eksten tjeneste o Inngående oppkobling Ekstene essuse pøve å nå en inten tjeneste Pakke etning - Pakke etning fotelle hvilken vei pakkene gå. Men en pakke kan væe enten et sva fa et anop innenfa, elle fosøk på å etablee en sesjon utenfa. Se også Dialog etning. o Inngående pakke Pakke som komme inn mot den essusen du vil beskytte. o Utgående pakke Pakke som komme fa den essusen du vil beskytte. Rekusiv navnetjene - Dine intene kliente buke denne fo DNS-oppslag. Autoativ navnetjene - Eie du et domenenavn, e en navnetjene satt opp til å væe autoativ fo dette domenet. Mek he at det kan også væe snakk om både pimæ og sekundæ tjene. Botnet En samling maskine som e infiset med ome/vius/bakdøe etc. og bli fjenstyt og bukt til lyssky viksomhet. Låvedø - En åpning i pakkefilte som e uhensiktsmessig åpent kan omtales åpen som en låvedø. Sugefilte geneelle egle (som gjene legges på linken ut mot veden) fo speing av utvalgte tjeneste som du ikke vil ha inn/ut av noen av dine nett. Eks. Netbios/CIFS. 11. De vanligste potokollene TCP e den vanligste potokollen som tjeneste buke idag. TCP e en pålitelig potokoll, toveis, og e fobindelsesoientet. En TCP oppkobling kan sammenlignes med det å inge noen. Du slå nummeet, og ette et lite øyeblikk ha du en pålitelig linje til den du inge. UDP e fobindelsesløs. Kan sammenlignes med det å sende bev. Desom du sende ut 10 bev til samme mottake kan du ikke væe sikke på at de komme fem i samme ekkefølge som de ble sendt, og du vet helle ikke om alle bevene komme fem. Man sende ut en pakke og fovente at den komme fem. Fohåpentligvis få du sva. Det e opp til applikasjonen å søge fo esending av pakke desom noen bli mistet. Ha ikke oppkoblingspakke slik som TCP ha. ICMP e en potokoll som man ofte bli anbefalt å filtee/stenge. ICMP e designet fo å appotee feil, og kan inneholde nytteinfomasjon som e viktig i nettvekskommunikasjon. Vi

anbefale defo ikke å stenge slik tafikk. ICMP echo og echo eply e også nyttig ved feilsøking. Dessuten ha den lav exploit ate. Det e like viktig å tenke på «ate-limiting» av ICMP desom man vil minke effekten av ICMP basete angep. Desom man likevel velge å spee fo ICMP anbefales det å åpne fo disse ICMP typene: Navn Type Code Kommenta ICMP_ECHO 8 0 Ping ICMP_ECHOREPLY 0 0 Ping sva ICMP_UNREACH 3 4 Bukes av path MTU fo å finne optimal MTU ICMP_TIMXCEED 11 0 Bukes av taceoute Ved å tillate disse ICMP typene vil man kunne buke nyttige vektøy fo å ha en effektiv dift av sine IP nettvek. 12. Oppkoblingspakke Desom man vil spee fo en TCP oppkobling holde det å spee fo den føste pakken unde oppkoblingen. Denne pakken kjenne man igjen siden den ikke inneholde ACK-flagget. Alle ande pakke, uansett hvilken etning den gå vil inneholde ACK-flagget. Ved å gjenkjenne disse hstat-pakkene h kan man etablee en policy som sie at intene kliente skal få lov til å koble opp mot ekstene sevee, mens ekstene kliente ikke skal få lov til å koble opp mot intene sevee. Dette gjø du ved å kun tillate slike hstat-pakke h på utgående tafikk, mens du nekte det på inngående tafikk. Denne metoden bukes nå vi snakke om det å tillate alleede etablet tafikk. Se også på definisjonen "Alleede etablet tafikk" 13. Logging Logging e et uvudelig hjelpemiddel ved oppsett av egle. Det e sjelden man klae å huske alle tjeneste ved oppsett av egle, og logging vil kunne avsløe hva du ha glemt. Se foøvig unde punkt 9 Abeidsmåte fo tips om hvodan du buke logging som hjelpemiddel til oppsett av pakkefilte. 14. De vanligste tjenestene Speing på utgående oppkoblinge nevnes ikke med minde det e behov fo det. Det e få tjeneste vi anbefale å spee på utgående oppkoblinge, da det som egel e lite/ingen isiko fobundet med dette. Fo de minde vanlige tjenestene e det ikke nevnt noe om kaakteistikk. Enkelte av tjenestene ha ikke egne anbefalinge. 14.1 DNS (Navnetjeneste) DNS må sees på i to sammenhenge. Alle institusjone ha som egel en autoativ navnetjene som svae fo sitt domene. Denne må svae på foespøsle fa omvedenen, i tilegg til soneoveføinge fa sekunde navnetjene. I tillegg ha man ekusive navnetjenee som man buke til oppslag i DNS-teet.

Kaakteistikk: DialogRetning Avsende Mottake Potokoll Fapo t Tilpot AC K Kommenta Inn Eksten Inten UDP/TCP >1023 53 * Ekstent oppslag mot din autoative navnetjene Inn Inten Eksten UDP/TCP 53 >1023 * Sva på oppslag. Din autoative navnetjene mot eksten klient. Inn(sett fa ekusiv navnetjene) Inten(klie nt) Inten(ekusiv navnetjene) UDP/TCP >1023 53 * Inten klient med foespøsel mot din ekusive Inn(sett fa ekusiv navnetjene) Ut Inten(ek usiv navnetjene ) Inten(ek usiv navnetjene ) Ut Eksten Inten(ekusiv navnetjene) navnetjene. Inten(klient) TCP 53 >1023 * Rekusiv navnetjene sende sva på foespøsel til klient. Eksten TCP/UDP >1023 53 * Inten ekusiv navnetjene med foespøsel mot eksten autoativ navnetjene. TCP/UDP 53 >1023 * Sva på foespøsel. Eksten autoativ navnetjene mot din intene ekusive navnetjene * Fo TCP: ACK e ikke satt på føste pakke (ved oppkobling) men ved esten av sesjonen. Fo UDP: UDP pakke ha ikke ACK flagg.

Tafikk til autoativ navnetjene. UDP og TCP tafikk fa hele veden fa pote ove 1023 må tillates inn mot din autoative navnetjene mot pot 53. Tafikk til/fa ekusive navnetjenee(dns-tjenee som bukes til oppslag) UDP tafikk fa hele veden fa pot 53 må tillates inn til din ekusive navnetjene mot pote ove 1023. TCP vil som oftest bli omfattet av egel fo alleede etablet tafikk. UDP og TCP tafikk fa alle dine intene adesse (som buke denne tjeneen som ekusiv navnetjene) må tillates mot din ekusive navnetjene mot pot 53. UDP tafikk fa din ekusive navnetjene fa pot 53 må tillates inn til alle dine intene essuse (som buke denne tjeneen som ekusiv navnetjene.) 14.2 MAIL Det kan væe fonuftig å spee utgående mail/smtp fa ande enn dine mailsevee fo å unngå at infisete maskine få lov til å sende spam. All utgående mail kanalisees gjennom dedisete mailsevee som ikke bli nektet i filtene. Eventuelle fosøk fa ikke mailsevee kan logges, og da vil man ved å følge med i loggen med en gang plukke opp eventuelle spammee. 14.2.1 SMTP (sending av mail mellom postkonto) Kaakteistikk: DialogRetnin g Avsende Mottake Potokol l Fapot Tilpot ACK Kommenta Inn Eksten Inten TCP >1023 25 * Innkommende mail, sende til mottake Inn Inten Eksten TCP 25 >1023 Ja Innkommende mail, mottake til sende Ut Inten Eksten TCP >1023 25 * Utgående mail, sende til mottake Ut Eksten Inten TCP 25 >1023 Ja Utgående mail, mottake til sende * ACK e ikke satt på føste pakke (ved oppkobling) men ved esten av sesjonen. TCP tafikk fa hele veden fa pote ove 1023 må tillates til din mailseve mot pot 25. Utgående TCP tafikk fa dine mailsevee fa pote ove 1023 må tillates mot hele veden mot pot 25.

Utgående TCP tafikk fa esteende systeme anbefales å spee mot hele veden mot pot 25. 14.2.2 POP/POPS (henting av e-mail fa mailseve) Mek: POP e en usikke tjeneste da bukenavn og passod oveføes i klatekst. Kaakteistikk: DialogRetning Avsende Mottake Potokol l Fapot Tilpot AC K Kommenta Inn Eksten Inten TCP >1023 110/995 * Innkommende POP Inn Inten Eksten TCP 110/99 5 >1023 Ja Sva på POP Ut Inten Eksten TCP >1023 110/995 * Utgående POP Ut Eksten Inten TCP 110/99 5 >1023 Ja Sva på utgående POP * ACK e ikke satt på føste pakke (ved oppkobling) men ved esten av sesjonen. TCP tafikk fa dine intene maskine fa pote ove 1023 må tillates mot din mailseve mot pot 110. (pot 995 ved pops) 14.2.3 IMAP/IMAPS (henting av e-mail fa mailseve) Mek: IMAP e en usikke tjeneste da bukenavn og passod oveføes i klatekst. Kaakteistikk: DialogRetnin g Avsende Mottake Potokol l Fapot Tilpot ACK Kommenta Inn Eksten Inten TCP >1023 143/993 * Innkommende IMAP Inn Inten Eksten TCP 143/99 5 >1023 Ja Sva på

IMAP Ut Inten Eksten TCP >1023 143/995 * Utgående IMAP Ut Eksten Inten TCP 143/99 5 >1023 Ja Sva på utgående IMAP * ACK e ikke satt på føste pakke (ved oppkobling) men ved esten av sesjonen. TCP tafikk fa dine intene maskine fa pote ove 1023 må tillates mot din mailseve på pot 143. (pot 993 ved imaps) 14.3 WWW Kaakteistikk: DialogRetnin g Avsende Mottake Potokol l Fapo t Tilpot AC K Kommenta Inn Eksten Inten TCP >1023 80/443 * Innkommende Inn Inten Eksten TCP 80/443 >1023 Ja Sva på Ut Inten Eksten TCP >1023 80/443 * Utgående Ut Eksten Inten TCP 80/443 >1023 Ja Sva på utgående * ACK e ikke satt på føste pakke (ved oppkobling) men ved esten av sesjonen. TCP tafikk fa hele veden fa pote ove 1023 må tillates mot din webseve mot pot 80. (pot 443 ved https)

14.4 SSH Kyptet tafikk, som med fodel kan bukes istedet fo FTP og/elle TELNET. Kaakteistikk: DialogRetnin g Avsende Mottake Potokol l Fapo t Tilpot ACK Kommenta Inn Eksten Inten TCP >1023 22 * Innkommende Inn Inten Eksten TCP 22 >1023 Ja Sva på Ut Inten Eksten TCP >1023 22 * Utgående Ut Eksten Inten TCP 22 >1023 Ja Sva på utgående TCP tafikk fa hele veden/utvalgte addesse fa pote ove 1023 må tillates mot dine SSH-sevee mot pot 22. Desom du ha mange *NIX systeme anbefales det å kun tillate denne tjenesten mot noen få systeme. Såkalte hop-hosts. Scanning ette såbae SSH-tjenee e vanlig, og antall åpne SSH-tjenee kan med fodel holdes til et minimum. 14.5 NTP Bukes fo å synkonisee klokken. UDP-baset tjeneste. Kaakteistikk: DialogRetning Avsende Mottake Potokoll Fapot Tilpot ACK Kommenta Inn Eksten Inten UDP >1023 123 * Innkommende klient til seve. Inn Inten Eksten UDP 123 >1023 * Sva på

seve til klient. Ut Inten Eksten UDP >1023 123 * Utgående klient til seve. Ut Eksten Inten UDP 123 >1023 * Sva på utgående seve til klient. Inn Eksten Inten UDP 123 123 * Oppkobling elle sva på oppkobling mellom sevee. Ut Inten Eksten UDP 123 123 * Oppkobling elle sva på oppkobling mellom sevee. * Ikke noe som hete ACK i UDP-pakke. Man kan vudee å buke NTP kun intent. Dette keve da oppsett av en inten NTP-seve, som intene maskine oppdatee klokka si imot. Desom man buke en eksten NTP-seve anbefales det å filtee ut tafikk kun fa denne seveen. UDP-tafikk fa eksten NTP-seve fa pot 123 må tillates til IP-adesse man vil oppdatee klokka på, mot pote ove 1023. 14.6 TELNET Mek: Autoisasjon og all kommunikasjon gå i klatekst, slik at dette e en usikke tjeneste. Kaakteistikk: DialogRetnin g Avsende Mottake Potokol l Fapot Tilpot AC K Kommenta Inn Eksten Inten TCP >1023 23 * Innkommende klient til seve. Inn Inten Eksten TCP 23 >1023 Ja Sva på Ut Inten Eksten TCP >1023 23 * Utgående klient til seve. Ut Eksten Inten TCP 23 >1023 Ja Sva på utgående * ACK e ikke satt på føste pakke (ved oppkobling) men ved esten av sesjonen.

Desom du likevel velge å buke telnet må TCP tafikk fa hele veden/utvalgte addesse fa pote ove 1023 tillates mot dine TELNET-sevee mot pot 23. 14.7 FTP Mek: Autoisasjon og all kommunikasjon gå i klatekst, slik at dette e en usikke tjeneste FTP buke to sepeate TCP oppkoblinge, en fo kommandoe og en fo datatafikk. I tillegg opeee FTP i to modus, og det e viktig å skjønne foskjellen på disse fø man kan lage egle fo FTP. Se nedenfo fo detalje. Kaakteistikk: DialogRetnin g Avsende Mottake Potokol l Fapot Tilpot AC K Kommenta Inn Eksten Inten TCP >1023 21 * Innkommende Inn Inten Eksten TCP 21 >1023 Ja Sva på Inn Inten Eksten TCP 20 >1023 * Datakanal oppkobling fo nomal modus, Inn Eksten Inten TCP >1023 20 Ja Sva på oppkobling av datakanal ved oppkobling passive modus, Inn Eksten Inten TCP >1023 >1023 * Datakanal oppkobling fo oppkobling passive modus, Inn Inten Eksten TCP >1023 >1023 Ja Sva på oppkobling av datakanal ved

oppkobling passive modus, Ut Inten Eksten TCP >1023 21 * Utgående Ut Eksten Inten TCP 21 >1023 Ja Sva på utgående Ut Eksten Inten TCP 20 >1023 * Datakanal oppkobling fo utgående oppkobling nomal modus, Ut Inten Eksten TCP >1023 20 Ja Sva på oppkobling av datakanal ved utgående oppkobling nomal modus, Ut Inten Eksten TCP >1023 >1023 * Datakanal oppkobling fo utgående oppkobling passive modus, klient til seve Ut Eksten Inten TCP >1023 >1023 Ja Sva på oppkobling av datakanl ved utgående oppkobling passive modus, * ACK e ikke satt på føste pakke (ved oppkobling) men ved esten av sesjonen. Autoisasjon og all kommunikasjon gå i klatekst, slik at dette e en usikke tjeneste. Man kan med fodel defo buke ande løsninge desom det e mulig. E det FTP-klienten du skal beskytte anbefales det å buke passive modus. Da unngå du å måtte åpne alle pote mot klienten fa FTP-sevene. Desom du dive en egen FTP-tjene anbefales det å buke et fast potnumme som klientene ta kontakt på ved passive modus. Da unngå du å måtte åpne fo alle pote inn mot denne seveen. Passive modus Ved passive modus e tjeneen man kontakte passiv. Det vil si at det e klienten som

oppette både kontollkanal og datakanal. Regle fo tjene På enkelte FTP-tjenee kan man fo datakanalen velge hvilken pot man vil at kliente skal kontakte tjeneen på. Klientene få da beskjed om dette potnummeet ved oppsett av kontollkanal. Tafikk fa (utvalgte) kliente fa alle pote ove 1023 må tillates til tcp pot 21 og datakanalpoten (default pot 20). Regle fo klient Desom man buke passiv ftp vil all tafikk væe initiet innenfa (sett fa klienten). Sva tilbake fa seve vil defo komme inn unde alleede etablet tafikk, slik at man ikke tenge flee åpninge i filte fo å få dette til å fungee. Nomal modus Ved nomal modus e tjeneen man kontakte aktiv. Det vil si at klienten oppette kontollkanalen, men det e tjeneen som oppette datakanalen mot klienten tilbake. Regle fo tjene Tafikk fa utvalgte addesse fa pote ove 1023 må tillates til dine FTP-tjenee mot pot 21. Regle fo klient Tafikk fa FTP-sevee fa alle pote må tillates til dine FTP-kliente til alle pote. He må filtene åpnes som en låvedø, og dette e ikke anbefalt løsning sett fa klienten sin side! 14.8 Active Diectoy AD-sevee kommunisee seg imellom og med kliente med mange foskjellige potokolle, og det anbefales defo å åpne på IP-nivå mot disse. Altenativt kan man velge å åpne fo hve potokoll/tjeneste. Efaingsmessig føe dette til me administasjon enn hva det e vedt. IP tafikk fa alle dine intene maskine må tillates mot dine AD sevee. (Altenativt kan man velge å åpne pe tjeneste.) 14.9 NETBIOS/CIFS Bli sett på som en "falig" tjeneste med mange såbahete. Denne "tjenesten" bø holdes intent/utenfo dine egne nett, både på utgående og inngående tafikk. TCP og UDP tafikk fa hele veden fa alle pote anbefales å spees mot alle dine intene essuse mot potene 135-139 og 445. TCP og UDP tafikk fa alle dine essuse fa alle pote anbefales å spees mot hele veden mot potene 135-139 og 445. 14.10 IRC IRC e en legitim og nyttig tjeneste som bukes av mange. Den bli bukt til chatting, men dessvee også til me lyssky viksomhet. Botnet e i vinden, og de styes ofte via IRC-kanale.

Denne tjenesten kan vudees å spees, men man må væe oppmeksom på at man ta bot en nyttig tjeneste som ha sto nyttevedi fo mange. Bannmue med mulighet fo pakkeinspeksjon kan spee på tjenestenivå, og kan demed plukke opp ukyptet IRC-tafikk på ande pote. 14.11 SNMP SNMP e en standadiset potokoll som bukes til ovevåkning og stying av blant annet nettveksutsty. I utgangspunktet vil du ikke at noen fa utsiden skal kunne stye utstyet ditt, så SNMP bø spees fa utsiden. Det e også vedt å meke seg at SNMP jevnlig ha fått avsløt nye såbahete. TCP og UDP tafikk fa hele veden fa alle pote anbefales å spees mot alle dine intene essuse mot potene 161 og 162. UDP tafikk fa din ovevåkningspc fa alle pote ove 1023 må tillates mot ditt nettveksutsty mot pot 161 14.12 MSSQL Det e ingen spesiell gunn til å tilby MSSQL utenfo institusjonen. Slamme infisete i sin tid veldig mange maskine, og det finnes fotsatt såbae maskine. Det anbefales defo å spee fo tafikk utenfa mot UDP pot 1434. UDP tafikk fa hele veden fa alle pote anbefales å spees mot alle dine intene essuse mot pot 1434 14.13 NOVELL Det kan væe kompliset å etablee fonuftige pakkefilteingsegle fo NOVELL pe tjeneste. He anbefales det defo å ha geneelle åpninge fo NOVELL tafikk intent i dine nett. TCP og UDP tafikk fa dine intene NOVELL essuse fa alle pote ove 1023 anbefales å tillates til alle ande NOVELL essuse mot pot 427 TCP og UDP tafikk fa dine intene NOVELL essuse fa alle pote ove 1023 anbefales å tillates til alle ande NOVELL essuse mot pot 524 TCP og UDP tafikk fa dine intene NOVELL essuse fa pot 427 anbefales å tillates til alle ande NOVELL essuse. TCP og UDP tafikk fa dine intene NOVELL essuse fa pot 524 anbefales å tillates til alle ande NOVELL essuse. 14.14 RPC RPC bli sett på som en falig tjeneste som anbefales å spees ute fa omvedenen. Desom man tenge åpning fa ekstene maskine kan man velge å åpne fo hele IP-addesse.

TCP og UDP tafikk fa hele veden fa alle pote anbefales å spees mot alle dine intene essuse mot pot 111. 14.15 Multicast En del tjeneste buke multicast fo kommunikasjon på nettveket. WINS og Noton Ghost e eksemple på dette. En del av denne multicast tafikken bø holdes intent på hve institusjon. Dette løses ved at man definee et eget intent «endezvouz» punkt med tilhøende pakkefilte de multicast tafikk som bø begenses intent bli stoppet. Multicast-stømme som skal ekstent vil bli sluppet ut ekstent og bli tatt hånd om av det sentale «endezvouz» punktet i UNINETT. Potokollene PIM og IGMP må tillates mellom dine utee. Potokollene PIM og IGMP må tillates mellom dine utee og «andevouz» punkt. 14.16 Antispoofing Inngående - Det anbefales å nekte tafikk fa utsiden som ha samme avsendeaddesse som dine intene nett. Utgående - Desom uteen/nettutstyet ikke støtte URPF anbefales det å spee fo falske avsendeaddesse fa dine egne intene nett. 15. Minimumsoppsett Lite abeid hjelpe veldig mye! He e det kun snakk om noen få egle, men disse vil bede sikkeheten betaktelig. Det eneste man gjø he e å etablee geneelle filte på linken ut mot veden, som da vil gjelde fo alle dine nett. Tafikk mellom dine intene nett flyte seg imellom uten egle. Innkommende sugefilte på linken ut mot veden som stenge en del felles tjeneste som du ikke vil ha utenfa, og med åpen ende. Nekt alle IP-pakke som ha avsendeaddesse med samme adesse som dine intene nett. (antispoofing) Nekt IP-pakke med avsendeadesse ifa ikke utbae nett mot alle dine essuse. Tillat all IP-tafikk fa dine ande studiestede mot alle dine essuse. (Gjelde bae desom din institusjon ha flee studiestede.) Nekt all TCP/UDP tafikk fa hele veden mot alle dine essuse mot potene 161 og 162 (SNMP) Nekt all TCP/UDP tafikk fa hele veden mot alle dine essuse mot pote 135 139 og 445. (NETBIOS/CIFS) Nekt all TCP/UDP tafikk fa hele veden mot alle dine essuse mot pot 111. (RPC) Nekt all UDP tafikk fa hele veden mot alle dine essuse mot pot 1434. (MSSQL) Tillat esten Utgående sugefilte som stenge en del tjeneste som du ikke vil sende ut fa dine egne nett

Tillat all TCP tafikk fa dine intene mailsevee til hele veden mot pot 25. Nekt all TCP tafikk fa dine intene nett til hele veden mot pot 25. (disse 2 siste eglene vil søge fo at det kun e dine mailsevee som få sendt mail ut mot veden) Nekt all TCP/UDP tafikk fa alle dine intene nett mot hele veden mot pot 135 139 og 445. Tillat all IP-tafikk fa alle dine intene nett mot hele veden. Nekt esten. (de 2 siste eglene vil søge fo at ingen på innsiden kan fofalske avsendeadesse) 16. Middels oppsett: Ikke så veldig sto foskjell ifa minimumsoppsettet, men he må du i tillegg legge på filte på dine intene nett. Buk de samme sugefiltene som i minimumsoppsettet. I tillegg ha du egle ut mot hvet enkelt vlan/nett. På hve av disse: Tillat tcp-tafikk som e etablet innenfa. Tillat all IP-tafikk fa dine intene nett. Tillat tafikk mot de intene tjenestene som skal væe nåbae utenfa. De viktigste du må huske e MAIL, DNS og WWW. Se egne beskivelse tidligee i dokumentet på fo oppsett av egle på disse. Nekt esten. Dette oppsettet e et veldig godt utgangspunkt fo å gå ove til et avanset oppsett. 17. Avanset oppsett Veldig likt middels oppsett, men i stedet fo å tillate all tafikk mellom dine intene nett, lage du egle fo hva som skal væe lov intent også. Dette keve mye abeid, og dette dokumentet gi ikke ett komplett oppsett. Viktige hjelpemidle fo å få laget slike oppsett e logging. (Se pkt om abeidsmåte) He kan man også kombinee med at sike nett kan nå alle ande nett, mens usike nett ikke kan nå nett som e definet som sikee enn seg selv. Et eksempel e at administasjonsnett kan fitt nå fag og studentnett, fagnett ha ikke ettighete til å nå administasjonsnett men kan fitt nå studentnett, mens studentnettet ikke ha ettighete til å nå de ande to nettene. 18. Akutte tiltak Ved akutte tiltak kan det væe behov fo å spee enkelte tjeneste elle maskine. DDoS angep, elle løpske maskine på innsiden e eksempel på slike anledninge. Dokumenteing og oppydning e viktig å huske. 19. Vedlegg. UNINETT-spesifikke tjeneste elle høgskole spesifikke tjeneste spesifisees i vedlegg. Tofast Telefonsental Akivsystem NAV/Vektøykasse Målepåle

Domenekontollee SIP 20. Refeanse Building Intenet Fiewalls, D. Bent Chapman and Elizabeth D. Zwicky 21. Intellektuelt eieskap Fofatte med abeidsguppe stå ansvalig fo innholdet i dette dokument. 22. Fofattes adesse Rune Sydskjø UNINETT Abels gt 5 - Teknobyen 7465 Tondheim Noway Telefon: 735 57944 Epost : une.sydskjo@uninett.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding