Иллюстрированный самоучитель по Secure Web


Сканирование


Операционная система Windows 2000 прослушивает список портов, многие из которых не были задействованы в Windows NT 4 и появились лишь в этой версии операционной системы. В табл. 6.1 приводится список некоторых портов, прослушиваемых по умолчанию контроллером домена Windows 2000. Каждый из них является потенциальной точкой входа в систему.

Список номеров портов TCP и UDP, используемых службами и программами компании Microsoft, можно найти в перечне ресурсов по адресу http://www.microsoft.com/windows2000/
library/resouces/reslcit/ samplechapters/default.asp. 

Таблица 6.1. Список портов, прослушиваемых по умолчанию контроллером домена Windows 2000

Порт

Служба

TCP 25

SMTP

TCP 21

FTP

TCP/UDP 53

DNS

TCP 80

WWW

TCP/UDP 88

Kerberos

TCP 135

RPC/DCE Endpoint mapper

UDP 137

Служба имен NetBIOS

UDP 138

Служба дейтаграмм NetBIOS

TCP 139

Служба сеансов NetBIOS

TCP/UDP 389

LDAP

TCP 443

HTTP поверх SSl/TLS

TCP/UDP 445

Microsoft SMB/CIFS

TCP/UDP 464

Kerberos kpasswd

UDP 500

IKE (Internet Key Exchange) (согласно протоколу IPSec)

TCP 593

HTTP RPC Endpoint mapper

TCP 636

LDAP поверх SSLДLS

TCP 3268

Глобальный каталог службы активных каталогов

TCP 3269

Глобальный каталог службы активных каталогов поверх SSL

TCP 3389

Терминальный сервер Windows

Контрмеры: отключение служб и блокировка портов


Наилучший способ предотвращения всевозможных атак — это блокировка доступа к этим службам как на уровне сети, так и на уровне отдельных компьютеров.

Внешние устройства контроля доступа к сети (переключатели, маршрутизаторы, брандмауэры и т.д.) нужно сконфигурировать таким образом, чтобы пресечь любые попытки доступа извне ко всем указанным портам, (Обычно это делается следующим образом. Отключаются все протоколы для всех доменов, а затем подключаются только некоторые службы для избранных доменов.) При этом, конечно, необходимо помнить об очевидных исключениях: порт 80 или 443 нужно оставить для работы Web-серверов. Ни один из этих портов не должен быть доступен за пределами сети, и лишь некоторые могут предоставляться для использования проверенными пользователями внутренних подсетей. Особенно это касается контроллера домена. На это есть две причины.



Начало  Назад  Вперед



Книжный магазин