Introdução
Considerando o número e a natureza dos incidentes de segurança reportados pelo CERT.BR, em especial no que tange a serviços de rede expostos e, considerando que muitos desses serviços aparentemente não fazem sentido estarem expostos na Internet, a Secretaria Geral de Informática - SIn resolveu aplicar bloqueios de acesso a serviços explorados com frequência em ataques, em cada um dos firewalls de borda dos campus UFSCar São Carlos, Sorocaba, Lagoa do Sino e Araras.
O tráfego interno dos campi não é afetado.
Serviços e portas bloqueados
As seguintes portas/serviços foram bloqueados nos campi para prevenir ataques a vulnerabilidades conhecidas à rede da UFSCar, inclusive afetam as unidades que tem roteamento próprio.
Relação de portas bloqueadas:
|
PORTA |
MOTIVO |
|
Porta 19: Chargen TCP/UDP |
Chargen é um protocolo de comunicação muito vulnerável, que é usado para amplificar os ataques DdoS, que é um ataque distribuído de negação de serviço Tipo de Bloqueio: Entrada |
|
Porta 17: QOTD TCP/UDP |
O Serviço de Mensagem do dia (Quote Of The Day) é alvo de Trojans. Tipo de Bloqueio: Entrada e Saída
|
|
Porta 23: Telnet TCP/UDP |
Telnet é um protocolo de comunicação que permite a execução remota de códigos maliciosos. Tipo de Bloqueio: Entrada |
|
Portas 67 e 68: DHCP Server e Client |
Pelo serviço DHCP é possível fazer uma configuração automática e dinâmica de computadores que estejam ligados a uma rede TCP/IP. |
|
Portas 69: TFTP UDP |
Pelo serviço TFTP é possível a transferência de arquivos de modo simples. Este serviço pode ser abusado para fazer parte de ataques distribuídos de negação de serviço, consumindo recursos da rede e impactando terceiros, além de poder revelar informações sensíveis no equipamento que o utiliza. Tipo de Bloqueio: Entrada e Saída |
|
Porta 111: Portmap TCP/UDP |
O serviço portmap é um daemon (programa executado em background) para serviços RPC, como o NIS e o NFS, que pode autorizar a execução de códigos maliciosos. Tipo de Bloqueio: Entrada |
|
Porta 123: NTP UDP |
O NTP é um protocolo para sincronizar relógios de computadores e equipamentos de rede, e pode ser vulnerável a servidores de NTP não confiáveis. Tipo de Bloqueio: Entrada – a consulta aos NTP está restrita aos blocos UFSCar. |
|
Portas 135,136, 137, 138, e 139: Microsoft NetBIOS TCP/UDP |
Estas portas são utilizadas no SO Windows para compartilhamento de arquivos e impressoras. Tipo de Bloqueio: Entrada e Saída |
|
Portas 161-162: SNMP TCP/UDP |
As portas acima estão associadas com o protocolo de monitoramento SNMP, que devido a diversas vulnerabilidade devem ser bloqueados na entrada, mas permitida a sua saída. Tipo de Bloqueio: Entrada |
|
Porta 1900: SSDP UDP |
O SSDP é um protocolo de descoberta de serviço com diversas vulnerabilidades. devem ser bloqueados na entada, mas permitida a sua saída. Tipo de Bloqueio: Entrada. |
|
Porta 3389: RDP TCP/UDP |
O RDP é um protocolo multi-canal que permite a conexão entre computadores remotamente, e que pode ser usado de maneira maliciosa. Tipo de Bloqueio: Entrada. |
|
Porta 5353: mDNS UDP |
O mDNS é um protocolo multi-canal que resolve a resolução de nomes de computadores em pequenas redes e possui enormes vulnerabilidades. Tipo de Bloqueio: Entrada / Saida |
|
Porta 5900: VNC TCP/UDP |
O serviço VNC (Virtual Network Computing) pode permitir acesso indesejado ao computador que têm esse serviço habilitado, podendo ser usado para ataques ou roubo de informações, Tipo de Bloqueio: Entrada |
|
Porta 1433: MS-SQL |
Porta padrão de acesso ao SQL Server. Tipo de Bloqueio: Entrada e Saída |
|
Porta 9034: TCP/UDP |
Porta utilizada para execução de comandos arbitrários. Tipo de Bloqueio: Entrada |
Se houver a necessidade de liberação das portas bloqueadas interna ou externamente, a unidade, deverá solicitar a liberação do tráfego pelo atendimento ao usuário servicos.ufscar.br