lq74
05.08.2013, 11:43
Настраивая новый файервол, решил перепроверить декларированную в доке рекомендацию открыть доступ "All UDP". И обнаружил недетскую активность глобально рассредоточенных хостов к порту UDP 161 (SNMP) моей железяки. Соответственно, CS1000 еще и отвечает на эти запросы.
Убедите меня, что в моих (и корпоративных) интересах не прибивать данный доступ (страсти по Сноудену;)).
Ocean
05.08.2013, 13:07
... И обнаружил недетскую активность глобально рассредоточенных хостов к порту UDP 161 (SNMP) моей железяки. Соответственно, CS1000 еще и отвечает на эти запросы.


Каких хостов? Какие то хосты в вашей сети ломяться на 161 порт CS1000?
lq74
05.08.2013, 13:56
Каких хостов? Какие то хосты в вашей сети ломяться на 161 порт CS1000?

Ocean, ну написал же ГЛОБАЛЬНО рассредоточенных - то есть по всему земному шарику. С хостами в известных сетках я бы уж как-то разобрался. Да и дока вполне вменяемо пишет, зачем SNMP в МОЕЙ сетке.

Вопрос скорее о глобальных замыслах покойного вендора на предмет SNMP.
Ocean
05.08.2013, 14:33
Ocean, ну написал же ГЛОБАЛЬНО рассредоточенных - то есть по всему земному шарику. С хостами в известных сетках я бы уж как-то разобрался. Да и дока вполне вменяемо пишет, зачем SNMP в МОЕЙ сетке.

Вопрос скорее о глобальных замыслах покойного вендора на предмет SNMP.

Может понедельник сказывается или моя больная спина, но сути не понимаю.
ГЛОБАЛЬНЫХ хостов, это которые в инете на публичных адресах? А как они могут достучаться до вашего CS1000 который весит на приватных адресах?
IgorN
05.08.2013, 14:37
Меня тоже заинтересовал этот вопрос.
lq74
05.08.2013, 15:10
А как они могут достучаться до вашего CS1000 который весит на приватных адресах?
У меня нода на реальных адресах. За файерволом. Исторически сложилось, т.к. пиры в NRS были на реальных адресах.
Ocean
05.08.2013, 15:12
У меня нода на реальных адресах. За файерволом. Просто есть в NRS пиры на реальных адресах.

Это вы молодцы!
Тогда чему тут удивляться то? В сети миллионы зараженных хостов которые тупо сканируют сеть на предмет поиска уязвимости и брудфорса популярных протоколов (snmp, ssh, telenet и т.д), в популярные протоколы конечно входит и snmp.

P.S. Вот интересный сервис на эту тему http://www.shodanhq.com/
lq74
05.08.2013, 15:22
Это вы молодцы!
Тогда чему тут удивляться то? В сети миллионы зараженных хостов которые тупо сканируют сеть на предмет поиска уязвимости и брудфорса популярных протоколов (snmp, ssh, telenet и т.д), в популярные протоколы конечно входит и snmp.
Спасибо, Ocean, на заданный вопрос Вы мне ответили. Т.е. оснований открывать 161 порт нет.
Ocean
05.08.2013, 15:24
Спасибо, Ocean, на заданный вопрос Вы мне ответили. Т.е. оснований открывать 161 порт нет.

Я бы закрыл все udp порты, кроме нужных.
1ое правило безопасности (особенно в публичной сети), запретить ВСЁ, что не разрешено.
lq74
05.08.2013, 15:36
Я бы закрыл все udp порты, кроме нужных.
1ое правило безопасности (особенно в публичной сети), запретить ВСЁ, что не разрешено.
Это я сейчас и подчищаю. All UDP проходит только с доверенных корп.адресов, а список "нужных портов" начат с минимума и его приходится дополнять, когда проявляется очередной отвалившийся сервис, либо в статистике выявляется нечто не совсем похожее на банальный брутфорс или портскан.