Redes, Firewall, Bloqueio de Portas com Vulnerabilidades Conhecidas

Esta página contém informações sobre o bloqueio de portas com vulnerabilidades pelo Firewall da Universidade Federal de São Carlos - UFSCar.

 

Introdução

Considerando o número e a natureza dos incidentes de segurança reportados pelo CERT.BR, em especial no que tange a serviços de rede expostos e, considerando que muitos desses serviços aparentemente não fazem sentido estarem expostos na Internet, a Secretaria Geral de Informática - SIn resolveu aplicar bloqueios de acesso a serviços explorados com frequência em ataques, em cada um dos firewalls de borda dos campus UFSCar São Carlos, Sorocaba, Lagoa do Sino e Araras.

O tráfego interno dos campi não é afetado.

 

Serviços e portas bloqueados

As seguintes portas/serviços foram bloqueados nos campi para prevenir ataques a vulnerabilidades conhecidas à rede da UFSCar, inclusive afetam as unidades que tem roteamento próprio.

Relação de portas bloqueadas:

 

PORTA

MOTIVO

Porta 19: Chargen TCP/UDP

Chargen é um protocolo de comunicação muito vulnerável, que é usado para amplificar os ataques DdoS, que é um ataque distribuído de negação de serviço

Tipo de Bloqueio: Entrada

Porta 17: QOTD TCP/UDP

 O Serviço de Mensagem do dia (Quote Of The Day) é alvo de Trojans.

Tipo de Bloqueio: Entrada e Saída

 

Porta 23: Telnet TCP/UDP

Telnet é um protocolo de comunicação que permite a execução remota de códigos maliciosos.

Tipo de Bloqueio: Entrada

Portas 67 e 68: DHCP Server e Client

Pelo serviço DHCP é possível fazer uma configuração automática e dinâmica de computadores que estejam ligados a uma rede TCP/IP.

Portas 69: TFTP UDP

Pelo serviço TFTP é possível a transferência de arquivos de modo simples. Este serviço pode ser abusado para fazer parte de ataques distribuídos de negação de serviço, consumindo recursos da rede e impactando terceiros, além de poder revelar informações sensíveis no equipamento que o utiliza.

Tipo de Bloqueio: Entrada e Saída

Porta 111: Portmap TCP/UDP

O serviço portmap é um daemon (programa executado em background) para serviços RPC, como o NIS e o NFS, que pode autorizar a execução de códigos maliciosos.

Tipo de Bloqueio: Entrada

Porta 123: NTP UDP

O NTP é um protocolo para sincronizar relógios de computadores e equipamentos de rede, e pode ser vulnerável a servidores de NTP não confiáveis.

Tipo de Bloqueio: Entrada – a consulta aos NTP está restrita aos blocos UFSCar.

Portas 135,136, 137, 138, e 139: Microsoft NetBIOS TCP/UDP

Estas portas são utilizadas no SO Windows para compartilhamento de arquivos e impressoras.

Tipo de Bloqueio: Entrada e Saída

Portas 161-162: SNMP TCP/UDP

As portas acima estão associadas com o protocolo de monitoramento SNMP, que devido a diversas vulnerabilidade devem ser bloqueados na entrada, mas permitida a sua saída.

Tipo de Bloqueio: Entrada

Porta 1900: SSDP UDP

O SSDP é um protocolo de descoberta de serviço com diversas vulnerabilidades. devem ser bloqueados na entada, mas permitida a sua saída.

Tipo de Bloqueio: Entrada.

Porta 3389: RDP TCP/UDP

O RDP é um protocolo multi-canal que permite a conexão entre computadores remotamente, e que pode ser usado de maneira maliciosa.

Tipo de Bloqueio: Entrada.

Porta 5353: mDNS UDP

O mDNS é um protocolo multi-canal que resolve a resolução de nomes de computadores em pequenas redes e possui enormes vulnerabilidades.

Tipo de Bloqueio: Entrada / Saida

Porta 5900: VNC TCP/UDP

 O serviço VNC (Virtual Network Computing) pode permitir acesso indesejado ao computador que têm esse serviço habilitado,  podendo ser usado para ataques ou roubo de informações,

Tipo de Bloqueio: Entrada

Porta 1433: MS-SQL

Porta padrão de acesso ao SQL Server.

Tipo de Bloqueio: Entrada e Saída

Porta 9034: TCP/UDP

Porta utilizada para execução de comandos arbitrários.

Tipo de Bloqueio: Entrada

 

Se houver a necessidade de liberação das portas bloqueadas interna ou externamente, a unidade, deverá solicitar a liberação do tráfego pelo atendimento ao usuário servicos.ufscar.br