Sempre tive problemas para encontrar informações de porta de firewall para alguns softwares/serviços baseados em Windows. Por exemplo,http://support.microsoft.com/kb/832017me dá as portas mas não há diferenciação entre INTERNAS (ex. LAN) e as que são EXTERNAS (para internet). A configuração do firewall do Desktop para o AD Server será, sem dúvida, diferente da configuração do AD Server para o AD Server e, claro, do AD DNS Server para a Internet.
Quero bloquear as interfaces entre meus computadores desktop e meus servidores e também entre servidores (AD para AD, etc.).
Eu tenho um firewall de hardware entre os desktops e servidores, e o switch do servidor também possui um firewall incorporado.Quero começar sem portas permitidas e depois abrir apenas o necessário para executar os serviços em cada servidor.Eu tenho muitos servidores SQL Server, AD, DNS, Exchange, Terminal Services, etc. e cada um tem uma configuração de porta um pouco diferente dependendo se está ou não se comunicando com a Internet (Exchange, DNS) ou com os servidores locais ( Replicação do Active Directory, compartilhamentos CIFS) ou desktops (SQL Server, Terminal ServiceS).
Para torná-lo um pouco mais geral (e útil para outras pessoas), eu esperava que pudéssemos obter uma lista de todos os aplicativos/serviços comuns do Windows e as portas necessárias para a internet/dmz (entrada/saída), para "confiável" LAN (servidor para servidor) (entrada/saída) e, em seguida, LAN não confiável (servidor para desktop).
Deixe-me começar com alguns, adicione-os à lista. Além disso, inclua se este é ou não um serviço "padrão" no Windows (por exemplo, o Exchange não é, mas o SMB seria).
Alguns eu tireihttp://support.microsoft.com/kb/832017 http://technet.microsoft.com/en-us/library/bb124075(EXCHG.65).aspx
Remote Desktop - default if enabled
DMZ - None (usually)
T LAN - 3389 (TCP IN/OUT)
U LAN - None (or selected desktops; IT support etc.)
NT - NetBIOS - default if enabled
DMZ - None
T/U LAN - 137, 138 (UDP I/O), 139 (TCP I/O)
SMB - default
DMZ - None
T/U LAN - 445 (TCP I/O) ?
DNS - only if installed within AD
DMZ - 53 (TCP/UDP O)
T/U LAN - 53 (TCP/UDP I/O)
Responder1
Sua pergunta não está totalmente clara, mas farei o meu melhor ...
Uma coisa a lembrar é que qualquer programa pode usar qualquer porta que desejar. É assim que o spyware e o malware conseguem prosperar em alguns ambientes... usando portas comuns e bem conhecidas e fingindo ser outra coisa.
Um exemplo menos malicioso seria o programa Skype, que tentará encontrar uma porta para usar, mas acabará por usar as portas 80 (porta HTTP/web) e 443 (porta SSL), se necessário.
Com isso em mente... você deve fazer uma varredura no(s) PC(s) em questão usando um programa como nmap ou nessus, etc... (há MUITOS deles por aí) para descobrir quais portas estão abertas e então decida como você deseja configurar seu firewall.
Aqui está um link para atribuições de portas comuns para fornecer um ponto de partida para o que PODE estar sendo executado nessa porta:
http://technet.microsoft.com/en-us/library/cc959833.aspx
Por exemplo, a porta 53 é comumente usada para DNS. Se você não precisar de DNS ou não tiver um servidor DNS em execução nessa máquina, poderá bloqueá-lo.
Na mesma linha, você deve certificar-se de que seu servidor não esteja executando serviços desnecessários. Se você vir a porta 53 aberta em seu servidor e tiver um servidor DNS (que não está usando) em execução, desligue-o. ;-)
Espero que isto ajude.
Responder2
Concordo com o KPWINC nas portas, qualquer coisa pode usar qualquer porta. Se o seu objetivo é proteger seus servidores, eu colocaria um firewall de hardware entre seus usuários e servidores e garantiria que ele tivesse proxies que pudessem ser executados nas portas que precisam estar abertas. Dessa forma, se o tráfego sair pela porta 80, o firewall poderá ver se é tráfego HTTP e descartá-lo se não for. Usamos um Watchguard X1000 para fazer o trabalho para nós, mas sei que existem outros por aí.
E sim, já posso ouvir algumas pessoas dizendo "Mas os vírus podem fazer com que seu tráfego pareça HTTP". É verdade, mas seu servidor também deve ser vulnerável ao serviço HTTP.