Lista de portas de saída típica para acesso de convidados?

2

Eu gerencio uma casa de aluguel semanal que inclui acesso à Internet sem fio. Eu autorizei todas as portas de saída no meu roteador, mas meu ISP desativou meu acesso à Internet duas vezes agora porque os visitantes fizeram o download de conteúdo protegido por direitos autorais. Então eu gostaria de instituir algum filtro de porta para desencorajar o compartilhamento p2p (veja o aviso abaixo). Mas eu não quero incomodar os 99,9% das pessoas que mantêm as coisas acima do normal.

A minha pergunta é: que portas de saída estão normalmente abertas para o acesso à Internet sem fios de aluguer / hotel ou onde posso encontrar essa lista? TCP 80,443,25,110 no mínimo. Embora meu próprio serviço de e-mail use 995 e 465 para SSL, alguns podem usar IMAP, eu pessoalmente uso SSH e FTP, então eu os abro. Aproximadamente eu acho que preciso abrir o acesso a portas privilegiadas, e fechar 1024 & acima. Existe uma lista de permissões que eu deveria instituir para portas altas comumente usadas? E faz sentido bloquear UDP > 1024?

Isenção de responsabilidade: percebo que qualquer pessoa que responda a esta mensagem pode contornar a filtragem de porta e compartilhar conteúdo para o conteúdo do seu coração. Eu não preciso de bloqueio abrangente de p2p, que requer mais do que uma lista branca de porta. Qualquer pessoa que fique na casa assume a responsabilidade pelo uso da Internet, de acordo com o contrato de locação. Além disso, qualquer pessoa experiente o suficiente para driblar os filtros de porta esperançosamente seria esperta o suficiente para usar algum tipo de bloqueio de mesmo nível, evitando assim que o ISP derrubasse o serviço.

    
por Steve 04.09.2012 / 02:59

2 respostas

2

Uma lista geral de portas a serem abertas em "redes de convidados", que são relativamente seguras :

TCP de saída:

53                  DNS unless you provide it (yes, TCP. Read the RFCs)
80, 443             Web Browsing
110, 995            EMail (pop3, pop3s)
143, 993            EMail (IMAP, IMAPS)
587                 EMail (SMTP Submission RFC 6409)

UDP de saída:

53                  DNS again, unless you provide it
123                 NTP (Optional, but nice.)

TCP / UDP de entrada: NONE (Only established stateful connections from the above list)

Como outros já mencionaram, o afogamento de largura de banda pode ser uma maneira mais eficaz de lidar com torrenters.

Como medida não técnica para se proteger de ações (pelo seu ISP ou por detentores de direitos autorais), você também deve fornecer aos locatários uma política aceitável de uso da Internet, observando que o uso do acesso à Internet pelo locatário é de sua exclusiva responsabilidade. atividades ilegais não são toleradas, e que violações dessa política resultarão em perda de acesso à internet nesta e em todas as futuras visitas.

Existem modelos de AUPs , mas o seu pode ser tão simples ou complexo quanto você quiser, Recomendo baixá-lo para um lado de uma folha normal de papel.

    
por 04.09.2012 / 19:15
0
Em primeiro lugar, uma compreensão dos serviços necessários deve ser obtida. Eu sei que isso é uma dor real, mas uma ACL convidada só deve permitir o tráfego para recursos confiáveis da sua organização.

Primeiro, os endereços de destino são facilmente encontrados executando uma pesquisa "Arin who is". (Registro americano de números da Internet.)

Em segundo lugar, os recursos legítimos da Internet fornecerão uma lista de portas TCP / UDP usadas para seus sites / serviços. Bloqueie todas as outras portas.

Em terceiro lugar, bloqueie todos os recursos não confiáveis, como: Toda a Ásia, Europa, África, América do Sul, pontos de saída da TOR e outros serviços de proxy anônimos. APNIC, RIPE, AFRINIC, LACNIC. (Pesquisa do Google) (Eu ofereço segurança para empresas baseadas nos EUA sem ligações fora dos EUA. Isso pode não se aplicar a você)

link tem uma lista de pontos de saída da TOR. Outros serviços de proxy que você precisará pesquisar por conta própria.

Quarto. Use melhor equipamento de rede que ofereça suporte a UTM, IDP, firewall de aplicativo layer7 e outras tecnologias de detecção de ameaças.

Eu uso o Juniper SRX, mas existem outros produtos e serviços similares de vários fornecedores.

Se não estiver satisfeito, considere uma solução de segurança baseada em nuvem de uma empresa respeitável que possa lidar com a segurança para você.

    
por 11.06.2015 / 09:20