ファイアウォールを通過できる送信ポート-コア要件
送信トラフィックに対してHTTP、POP3、IMAP4、SMTP機能のみを許可する場合(つまり、サイトでホストされているサーバーがない場合)、それらの機能を機能させるために開く必要がある追加のポート(DNS UDPポートなど)はありますか?
参照: 常に開いている送信ポート
以下の回答の一部がおかしいと思われる場合は、この投稿の編集を参照してください-さまざまな質問への回答をまとめるように思われた詳細の多くを削除しました。
「... ASAの設定にあるように、私たちがほとんど制御できない1つ以上の他の組織とインターネット接続を共有している」場合、少なくとも彼らに特定のニーズを尋ねるべきではないと思いますか?持ってる?私はあなたの設定が何であるかわかりませんが、私は以前に「共有」インターネット接続の状況にあったことがあり、組織が必要とするポート以外のすべてを恣意的にブロックするのではなく、最初にそれらに相談したいでしょう。他の組織のビジネスに必要なサービスをブロックした場合、最初に要求したくないという理由で訴訟を起こす...
完全に改訂された質問による編集
- HTTP-TCP:80
- HTTPS- TCP:443
- POP3-TCP:110(安全なPOPは通常TCP:995です)
- IMAP4- TCP:143(安全なIMAPは通常TCP:993です)
- SMTP-TCP:25(安全なSMTPは通常TCP:465です)
- DNS-UDP:53(外部ルックアップ)
これらのサービスは他のポート上にある可能性がありますが、これらは標準ポートです。 8000の範囲で可能な他のHTTPポートについて言及している人もいますが、一般にパブリックサイトではこれを行いません。この場合も、トラフィックを監視し、ポートを開く前に他のポートが必要かどうかを確認する必要があります。
これらのポートが実際に会社で使用されていることを確認した場合(POP3、IMAP経由で外部メールサーバーに接続し、SMTPポート経由でメールを直接送信するユーザーがいる場合)、接続する外部IPに注意して制限する必要がありますファイアウォール上のそれらのIPのみに対するACL。これにより、ユーザーのいずれかがメールワームまたは他の同様のウイルスに感染した場合のリスクをある程度制限できます。
DNSルックアップの場合、設定に応じて、内部DNSサーバー(ADを使用している場合はAD DC)のみがルックアップを実行し、クライアントはそれらをDNSサーバーとして使用します。また、通常、使用している外部DNSサーバーを把握し、送信ルックアップを転送用の外部DNSサーバーのみに制限します。クライアントが自分でルックアップを実行している場合は、クライアントがどの外部DNSサーバーにアクセスするかを知っていて、送信接続をそれらの外部サーバーのみに制限しているはずです。
これらすべてのACL設定で必要なのは、サービスのポートを許可することだけです。ステートフルファイアウォール(編集前にASA 5505があると言ったと思いますか?)は、外部からの応答を認識し、確立されたセッションとして受け入れます(確立されたセッションがない接続を拒否します)。
私は最近、私が相談する環境でこれを実装しました。1週間かけてすべての下りトラフィックをログに記録したので、最初に最も使用されているポートが何であるかがよくわかりました。通常とは異なる使用頻度の高いポート(たとえば、スチームポート)がある場合は、経営陣と協力して、ビジネスに必要かどうかを確認しました。また、標準以外のポートで通信している組織が実行した独自のソフトウェアがないことを確認しました。
最後に、ブロッキングの変更を実装し、次の2週間監視しました。
このプロセスには約1か月かかりましたが、前もって準備作業を行っていたため、非常にスムーズに進みました。
-ジョシュ
ポート8080または8000または8888で実行されているWebサーバーを見つけることは珍しいことではないので、それらを含めることもできます。
ポート25 smtpですが、リレーがある場合は、リレーを許可してください。メッセンジャー-msn、gtalkなど.
ログを設定し、ブロックされているものを監視します。別のポートを使用している人がいるかもしれません。
トラフィックを許可するサービスの数によって異なります。万能の処方箋はありません。多分あなたのリストにあなたはftpポート21と20を忘れました。より詳細な答えのために、我々はトラフィックが許可するより詳細なサービスのリストが必要です。