Вопросы Теги

Какие порты имеют тенденцию быть нефильтрованными глупыми брандмауэрами?

Я соглашаюсь, что это - HR / политика управления, IT может только поместить меньше, чем идеальная технология на месте для реализации. Если существует проблема, это должно быть очевидно в производительности преступника.

Однако при необходимости, чтобы иметь доказательство в целях дисциплинарных мер затем журналы Использования Интернета жизненно важны для случая организации. Для этого организация должна использовать вход / создание отчетов о механизме. Использование этого должно быть передано сотрудникам, и политики использования должны быть ясно зарегистрированы в руководство сотрудника.

Мы также выполняем, использование monitorying используют Websense. Категории, строго запрещенные нашей политикой, прямо заблокированы. Другим, которые более свободно отрегулированы, разрешают путем нажатия через кнопку, которая приравнивается к сотруднику, говорящему, что "Я понимаю этот фильтр, и продолжаюсь из-за бизнес-причин". Инструмент, который Вы используете, собирается во многом зависеть от типа политики, которую Вы имеете и размер Вашей организации.

Я также полностью соглашаюсь, что ограничение социальных сайтов становится все большим количеством нежелательной вещи, специально для предстоящих поколений.

2
задан 1 June 2010 в 02:55
4 ответа

Я не вижу, почему 443 не должен работать.

Однако я всегда вопрос, работающий sshd на порте кроме 22. Я не попробовал, сам, но безопасность через мрак. Это обеспечивает главным образом ложное чувство защищенности. Много ботов займут время к сканированию портов хост перед нападением, или если 22 закрывается. Если бы 22 работы над большинством брандмауэров, я просто вернулся бы к использованию 22 и настроил бы пары ключей для автора и отключил бы автора пароля полностью (независимо, если Вы пятитесь к 22 или не),

443 походит на хороший выбор, поскольку это должно быть часто открыто.

1
ответ дан 3 December 2019 в 12:19
  • 1
    Спасибо! На порте 22 я получаю тонны неудавшихся попыток входа в систему, и на другом порте я не получаю ни один. You' ре, корректное это it' s безопасность с помощью мрака, но это определенно уменьшает внимание, которое привлекает демон. Я don' t знают, открыт ли порт 22 обычно через брандмауэры, но I' d сомневаются относительно этого, так как SSH является вещью UNIX (и таким образом несколько неясный), и мое впечатление - то, что много этих вещей настраивается неосведомленными беспилотниками. –   30 May 2010 в 23:43
  • 2
    Я думал бы, что у Вас будет меньше проблем с 22, поскольку другие указали на проблемы для 443. 21 и 53 мог использоваться, но я воображаю 53, мог вызвать проблемы, в зависимости от их брандмауэра. Вы могли всегда выполнять ssh на многих портах и делать тестирование на пути к видит, который имеет самый большой успех. Я не знаю ни о какой причине, почему несколько ssh серверов на одном хосте развернули бы Вашу уязвимость. Также fail2ban, как упомянуто может fw от ssh ботов, но если автор пароля отключен, Вы в очень минимальном риске. Вы могли также изучить " порт knocking" –  cpbills 31 May 2010 в 00:45
  • 3
    @Reid, SSH, возможно, запустил жизнь на UNIX, но конечно не ограничивается к нему. Что касается его являющийся " несколько obscure" действительно ли Вы серьезны? –  John Gardeniers 31 May 2010 в 04:31
  • 4
    John, в контексте едва компетентных конфигураторов брандмауэра отеля, да. I' m, не говоря о людях, которые знают что they' ре, делающее здесь.:) –   1 June 2010 в 02:57

443 не хорошая идея. особенно порт 443 является dangereous решением, если Вы не будете использовать его для трафика SSL. в первую очередь, Gmail или любой крупный поставщик услуг отметят Вас как общедоступный прокси-сервер (они отмечают все работы над 443 без SSL enc.) Также некоторые профессиональные брандмауэры также блок любой трафик в 443 без SSL. из-за программ прокси как ультраперемещение или Тор и т.д., возможно, можно забрать его к 23 или оставить его на 22. если Вам не нравится bruteforcers на sshd., я могу совет Вы для использования fail2ban http://www.fail2ban.org/wiki/index.php/Main_Page, это - идеальное решение для защиты sshd, также FTP-серверы и т.д.

1
ответ дан 3 December 2019 в 12:19
  • 1
    +1 на fail2ban. –  Sean Edwards 30 May 2010 в 23:48
  • 2
    Хорошо, но порт 22, вероятно, для прохода? I' d как он для работы даже перед лицом серьезно некомпетентного администрирования брандмауэра, которое вряд ли будет знать о SSH. –   31 May 2010 в 00:04
  • 3
    хм.. что относительно 21? it' s общий порт как 80. я don' t думают, что это будет заблокировано также. –  risyasin 31 May 2010 в 00:16
  • 4
    i' ve искал revelant документ для такого примечания dangereous, но ничего найденного. В прошлом году мои 2 производства servers' IP-адреса были заблокированы просто, потому что они были отмечены как свободный общедоступный прокси (это было записано на причине блока: соединение Non-ssl, принятое на порте 443). я не помню RBL' s имена. но если я нахожу свои письма для объяснения. я отправлю здесь. Примечание: я использовал тот порт для удаленного туннелирования SSH, в то время как это не было необходимо в течение того времени. BTW большинство VPN' s работы с SSL или использование любое другое шифрование путь, в моем предположении это сохраняет их того, чтобы быть отмеченным. –  risyasin 31 May 2010 в 17:00

Я сказал бы 443, будет хороший порт, хотя знать, что некоторые брандмауэры могут сделать контроль содержания, чтобы удостовериться, что порт 443 трафика на самом деле https. Существуют также некоторые странные местоположения, где им не нравится зашифрованный трафик, поэтому отклоните порт 443.

В зависимости от установки порт 53 может быть в порядке - если они не ограничили исходящий трафик только своими собственными серверами DNS, который является.

Это может также рассматривать, могли ли Вы использовать запасной IP-адрес. У Вас должен не обязательно быть свой веб-сервер, слушающий на каждом IP-адресе, которым владеет Ваш сервер, в этом случае Вы могли просто использовать порт 80, который является маловероятно, чтобы быть заблокированным IP.

С другой стороны это - вероятно, не мудрое помещение Вашего ssh сервера на закрепленном порте, когда то, что Вы делаете, пытается заставить его затенить. И могут быть встроенные прокси-серверы на порте 80 и 443, которые останавливают Вас делающий это.

0
ответ дан 3 December 2019 в 12:19

Я поддерживаю VPN для нескольких пользователей, которые берут их системы к партиям, строгим из сетей. По моему опыту, нет никакого единственного порта, можно послушать на этом, будет работать 100% времени. Если Вы хотите высоконадежную возможность соединения, вероятно, необходимо установить систему для принятия соединений на многих портах.

Просто установите SSH, чтобы послушать на некотором порте и затем использовать NAT для предоставления доступа к этому доступным на других портах.

Так как Вы упомянули, что порт 80 используется. Если у Вас есть апачская работа порта 80, Вы могли бы даже настроить его как прокси. Но удостоверьтесь, что Вы не торопитесь, чтобы понять, как установить доступ правильно так Вы, что Вы не становитесь открытым прокси.

К сожалению, если Вы действительно захотите, чтобы Ваша система смогла быть доступом из строгих сетей, то у Вас, вероятно, будет большое сканирование. Те же протоколы, которые являются обычно, позволяют через брандмауэры, те, которые являются наиболее часто используемыми и просканированы для. Установите что-то как denyhosts или fail2ban, таким образом, Ваша система заблокирует людей.

0
ответ дан 3 December 2019 в 12:19

Теги

Похожие вопросы