[R A T]

Tervist

Tekkis vajadus määratleda täpsemalt serverite rollid ning selle põhjal hakata neile firewalli auke tegema.
Ühest üldisest policyst ei piisa ja individuaalselt kõiki servereid ei tahaks konfigureerida.

Teema alustuseks oleks vaja defineerida erinevad rollid.
Mis mul hetkel pähe tuli:
+DomainController
+File & Print Server
+Web Server (IIS)
+SQL Server (MS)
+SCCM server (2012)
+SCCM distribution point (2012)

Kõik serverid vähemalt Server 2008 R2


Hea meelega hakkaks siin esimeses postituses järge pidama, mis pordid mis serverile kindlasti lahti tuleb teha.
Kindlasti on siin palju tarkpäid, kes teavad, mis on kriitiline piir kinni keeramisel.
Meie turbeinimene jätaks DC-le hea meelega vaid RDP sissetulevaks. Kas ja mis probleeme see aga tekitaks?


Siin lisainfot serveri turvamiseks:
https://wikis.utexas.edu/display/ISO/Windows+2008R2+Server+Hardening+Checklist
http://programming4.us/security/3234.aspx

Siin rollid lahtiharutatuna:
Domain Controller
INFO: http://www.tech-faq.com/securing-domain-controllers.html
Inbound:

[terat]

Kas sisevõrk on defauldina lahti main tulemüüri tasandil? või on piirangud ja tehtud erandid ainult serveri rollide toimiseks (kerberos, LDAP, DNS, DHCP jne)?

[Angrist]

No googlesse intenret ports, siis saad vastused.

DNS jäi sul ka kirjutamata sinna, ja AD jaoks ON vaja dnsi.

Failiserver kasutab SMB protokolli

[wiinanina]

[Angrist]

[mahno]

Kui su turbeinimene tahab jätta erinevatele serveritele vaid pordi 3389 rdp jaoks, siis otsi võimalusi temast vabanemiseks Esiteks kuna iga mitte väga rumal inimene saab aru, et muud teenused vajavad ka porte, teiseks sellepärast et kui ta tahab kõik kinni panna, siis mis krdi pärast ta seda nii ebaturvaliselt teeb et rdp lahti jätab Kui DC-l jätta ainult RDP lahti, siis ta pmst ei ole tööjaamadele enam DC .

DC - milleks nikastada siin portide kirjeldamisega? Windows 2008 pakub ise välja tulemüürireeglid erinevate valmisrollide jaoks. Ole ainult mees ja viksi maha. Üks selline roll on domeenikontroller. Usu MS enda tehtud reegleid. Vajadusel lisa sulle sobiv skoop.
Muidugi kui tahad väga tuunida, siis teed kaks reeglistikku - üks mis puudutab DC-de omavahelist replikatsiooni, teine mis käib dc ja kliendi vahel.

MS SQL puhul sõltub kõik sinu konkreetsest seadistusest. Kui on default instants, siis kõige minimaalsemalt piisaks vaikimisi TCP pordist 1433. Kui on nimeline instants, siis on vaikimisi port dünaamiline. Parim oleks port sel juhul fikseerida, kuna standardit otseslt pole, siis ise tead mis pordi valid. Kui sul on lisaks integration servicet või näiteks seda, et sql browser töötaks siis need ka. Kui browseri kinni paned, siis named instantsidele enam nime järgi lihtsalt niisama ligi ei saa. Saad pordi järgi kusjuures mingil perverssel põhjusel on ühenduse seadistamisel hosti nime ja pordi eraldajaks koma.

File ja prindi puhul oleks minimaalselt vaja porte 139 ja 445, aga edasine sõltub sinu vajadustest ja kasutusel olevatest printimisteenustest.

Veebiserveri puhul...kust mina tean mis pordis su veebid kuulavad Vaikimisi on 80 ja 443.

Lisaks abiteenused. DNS - UDP 53 peab klientide jaoks lahti olema. Kui sul on AD integreeritud tsoonid, siis sellest piisab. Kui mitte, pead erinevate dns serverite vahel lahti tegema ka TCP 53 zone transferide jaoks.

Ping. esmapilgul tundub turvaline ära keelata, AGA ei tasu seda mitte teha. Ühelt poolt on seda vaja troubleshootimiseks, teisalt teeb tööjaam näiteks seeläbi kindlaks ühenduse kiirust dc-ga ja selle järgi valib slow või mitteslow connectioni gpo töötluse.

Tark oleks siis oma võrgud kuidagi subnettida nii, et serveritevahelised reeglid ja serverite-tööjaamade ning tööjaam-tööjaam reeglid saaks võrgumaskidega ära määrata.

Ära unusta neid porte, mida su varunduslahendus, monitooring jne kasutavad.

Ja noh...et oma turvainimest peetida, siis kindlasti tee ettepanek implementeerida 802.11x traadi tasemel ja IPSEC.

Lisaks. Soovitan peale esimest keelamise tuhinat dropitavale liiklusele logimine peale panna ja vaadata, mis siis ikkagi reaalselt maha visatakse. Avastad vigu ennem kui kasutajad karjuma hakkavad.