Siempre he tenido problemas para encontrar información sobre el puerto del firewall para algunos software/servicios basados en Windows. Por ejemplo,http://support.microsoft.com/kb/832017me da los puertos pero no hay diferenciación entre los INTERNOS (ej. LAN) y los que son EXTERNOS (a internet). La configuración del firewall desde el escritorio al servidor AD será, sin duda, diferente a la del servidor AD al servidor AD y, por supuesto, del servidor AD DNS a Internet.
Quiero bloquear las interfaces entre mis computadoras de escritorio y mis servidores y luego también entre servidores (AD a AD, etc.).
Tengo un firewall de hardware entre las computadoras de escritorio y los servidores, y el conmutador del servidor también tiene un firewall integrado.Quiero comenzar SIN puertos permitidos y luego abrir solo lo necesario para ejecutar los servicios en cada servidor.Tengo muchos servidores SQL Server, AD, DNS, Exchange, Terminal Services, etc. y cada uno tiene una configuración de puerto ligeramente diferente dependiendo de si está hablando o no con Internet (Exchange, DNS) o con los servidores locales ( Replicación de Active Directory, recursos compartidos CIFS) o escritorios (SQL Server, Terminal Services).
Para hacerlo un poco más general (y útil para otras personas), esperaba que pudiéramos obtener una lista de todas las aplicaciones/servicios comunes de Windows y los puertos necesarios para Internet/dmz (entrada/salida), para que sean "confiables". LAN (servidor a servidor) (entrada/salida) y luego LAN no confiable (servidor a escritorio).
Permítanme comenzar con un par, agréguelos a la lista. Además, incluya si este es o no un servicio "predeterminado" dentro de Windows (por ejemplo, Exchange no lo es, pero SMB sí lo sería).
Algunos los saquéhttp://support.microsoft.com/kb/832017 http://technet.microsoft.com/en-us/library/bb124075(EXCHG.65).aspx
Remote Desktop - default if enabled
DMZ - None (usually)
T LAN - 3389 (TCP IN/OUT)
U LAN - None (or selected desktops; IT support etc.)
NT - NetBIOS - default if enabled
DMZ - None
T/U LAN - 137, 138 (UDP I/O), 139 (TCP I/O)
SMB - default
DMZ - None
T/U LAN - 445 (TCP I/O) ?
DNS - only if installed within AD
DMZ - 53 (TCP/UDP O)
T/U LAN - 53 (TCP/UDP I/O)
Respuesta1
Tu pregunta no está del todo clara pero haré lo mejor que pueda...
Una cosa para recordar es que cualquier programa puede usar cualquier puerto que desee. Así es como el software espía y el malware logran prosperar en algunos entornos... utilizando puertos comunes y conocidos y pretendiendo ser otra cosa.
Un ejemplo menos malicioso sería el programa Skype que intentará encontrar un puerto para usar pero finalmente usará los puertos 80 (puerto HTTP/web) y 443 (puerto SSL) si es necesario.
Con eso en mente... deberías hacer un escaneo de las PC en cuestión usando un programa como nmap o nessus, etc... (hay MUCHOS por ahí) para saber qué puertos están abiertos y luego Decida cómo desea configurar su firewall.
Aquí hay un enlace a asignaciones de puertos comunes para brindarle un punto de partida sobre lo que PODRÍA estar ejecutándose en ese puerto:
http://technet.microsoft.com/en-us/library/cc959833.aspx
Por ejemplo, el puerto 53 se utiliza habitualmente para DNS. Si no necesita DNS o no tiene un servidor DNS ejecutándose en esa máquina, puede bloquearlo.
En la misma línea, debes asegurarte de que tu servidor no esté ejecutando servicios que no necesita. Si ve el puerto 53 abierto en su servidor y tiene un servidor DNS (que no está usando) ejecutándose, apáguelo. ;-)
Espero que esto ayude.
Respuesta2
Estoy de acuerdo con KPWINC en los puertos, cualquier cosa puede usar cualquier puerto. Si su objetivo es proteger sus servidores, colocaría un firewall de hardware entre sus usuarios y servidores y me aseguraría de que tenga servidores proxy que pueda ejecutar en los puertos que deben estar abiertos. De esa manera, si el tráfico sale por el puerto 80, el firewall puede ver si es tráfico HTTP y descartarlo si no lo es. Usamos un Watchguard X1000 para hacer el trabajo por nosotros, pero sé que hay otros por ahí.
Y sí, ya puedo escuchar a algunas personas decir "Pero los virus pueden hacer que su tráfico parezca HTTP". Es cierto, pero su servidor también debe ser vulnerable al servicio HTTP.