Ports forward et blocages dans un domaine win2k + exchange

[mrjeanguy]

Bonjour,

Je suis en train de modifier la config de mon modem/routeur, après quoi j'installerai ipcop entre ce modem routeur et notre réseau.

Mon prédécesseur avait fait une série de forward du modem routeur vers notre serveur. Je suis en train de revoir cette liste qui me servira aussi de base

pour la liste des ports à ouvrir et forwarder sur mon ipcop. Je compte bloquer certain éléments et je voudrais votre avis concernant la nécessité de laisser

certain ports ouverts compte tenu de notre réseau...

Nous avons une adsl Pro (ip fixe). Notre Modem routeur est connecté au hub.
Le serveur (windows 2000 server + exchange + proxy + dhcp +
controleur de domaine + dns + serveur web) est relié au hub. L'ip de
notre serveur est 192.168.2.10.

Mon prédécesseur avait demandé à notre provider de faire une série de
forward du modem/routeur vers notre serveur (192.168.2.10), j'ai retrouvé
pas mal de choses qui ne semblent plus servir pour le moment et que donc je
compte virer.
Par contre, il y a une série d'éléments sur lesquels je voudrais votre
avis...

Config de mon prédecesseur:


192.168.2.10 proto-TCP port-20 FTP
192.168.2.10 proto-TCP port-21 FTP
192.168.2.10 proto-TCP port-22 SSH
192.168.2.10 proto-TCP port-25 SMTP
192.168.2.10 proto-UDP port-25 SMTP
192.168.2.10 proto-TCP port-42 Hostaname server
192.168.2.10 proto-UDP port-42 Hostaname server
192.168.2.10 proto-TCP port-43 Who is
192.168.2.10 proto-UDP port-43 Who is
192.168.2.10 proto-TCP port-53 DNS
192.168.2.10 proto-UDP port-53 DNS
192.168.2.10 proto-TCP port-80 HTTP
192.168.2.10 proto-UDP port-80 HTTP
192.168.2.10 proto-TCP port-103 Genesis Point-to-point Trans Net (or X400
ISO Email; alias=webster)
192.168.2.10 proto-UDP port-103 Genesis Point-to-point Trans Net (or X400
ISO Email; alias=webster)
192.168.2.10 proto-TCP port-104 ACR-NEMA Digital Imag. & Comm. 300
192.168.2.10 proto-UDP port-104 ACR-NEMA Digital Imag. & Comm. 300
192.168.2.10 proto-UDP port-109 pop2
192.168.2.10 proto-TCP port-109 pop2
192.168.2.10 proto-TCP port-110 pop3
192.168.2.10 proto-TCP port-119 nntp
192.168.2.10 proto-UDP port-119 nntp
192.168.2.10 proto-TCP port-135 Location Service
192.168.2.10 proto-TCP port-136 Profile Naming System
192.168.2.10 proto-TCP port-137 NETBIOS Name Service
192.168.2.10 proto-TCP port-138 NETBIOS Datagram Service
192.168.2.10 proto-TCP port-139 NETBIOS Session Service
192.168.2.10 proto-UDP port-135 Location Service
192.168.2.10 proto-UDP port-136 Profile Naming System
192.168.2.10 proto-UDP port-137 NETBIOS Name Service
192.168.2.10 proto-UDP port-138 NETBIOS Datagram Service
192.168.2.10 proto-UDP port-139 NETBIOS Session Service
192.168.2.10 proto-TCP port-143 IMAP
192.168.2.10 proto-UDP port-143 IMAP
192.168.2.10 proto-TCP port-220 IMAP3
192.168.2.10 proto-UDP port-220 IMAP3
192.168.2.10 proto-TCP port-443 https (http protocol over TLS/SSL)
192.168.2.10 proto-UDP port-443 http protocol over TLS/SSL
192.168.2.10 proto-TCP port-1494 ica
192.168.2.10 proto-UDP port-1494 ica
192.168.2.10 proto-UDP port-3160 Integral
192.168.2.10 proto-TCP port-3160 Integral
192.168.2.10 proto-TCP port-3389 MS WBT Server (windows based terminal
server)
192.168.2.10 proto-UDP port-3389 MS WBT Server (windows based terminal
server)
192.168.2.10 proto-TCP port-3459 Integral
192.168.2.10 proto-UDP port-3459 Integral
192.168.2.10 proto-TCP port-5800 VNC
192.168.2.10 proto-UDP port-5800 VNC
192.168.2.10 proto-UDP port-5900 VNC
192.168.2.10 proto-TCP port-5900 VNC

---------------------------------------
Je compte Virer :

VNC: je ne m'en sert plus
Integral: programme de compta accessible via le web mais je ne veux plus d'accès web à notre serveur pour le moment et de toute manière

Personne ne s'en sert via le web.

---------------------------------------
J'aimerais virer les forward suivants mais je ne suis pas certain et
j'aimerais un avis:

Je n'ai plus de dossier disponibles en ftp sur notre srv, si je vire le forward ça n'empèchera pas qu'on se connecte depuis les postes utilisateurs sur des

ftp sur le web je suppose... (besoin d'être rassuré :-S)
port 20-21 FTP

Nous n'hébergeons plus notre site sur notre serveur, la redirection a-t-elle encore un sens ?
port-80 HTTP

il n'y a pas d'accès sécurisé qui se fait sur notre srv, virer ce forward peut-il empêcher qu'on se connecte de manière sécurisée vers l'extérieur?
Port 22 SSH Idei plus de site hébergé sur notre srv=> encore un intérret?
port-443 https (http protocol over TLS/SSL)

Si je vire le forward est ce que ça peut empêcher l'envoi et la reception de messages x400 sur un autre poste que le serveur?
Port 103 x400

Pour ces ports "email"(smtp, pop imap), nous avons un serveur exchange sur 192.168.2.10, celui-ci n'est joignable que de l'intérieur. Donc
pas de webmail joignable de l'extérieur ni de client mail qui se connectent de l'extérieur. Quels sont les forwards dont je peux me passer à ce niveau ?
port 25 SMTP
port 109 POP2
port 110 POP3
port 143 IMAP
port 220 IMAP

Ca sert à quoi "Hostname Server"? G cherché mais la rfc 953 ne m'a pas beaucoup éclairé...
port 42 Hostname server...
Idem, à quoi cela sert-il? http://etienne.durup.free.fr/securite/nbports.htm mais je ne comprend pas la finalité concrète de ce service
port-135 Location Service...
Même question ici...
port-136 Profile Naming System

Ai je besoin des services netbios et associés entre le web et mon serveur si je ne fais pas d'accès distant ? Les services netbios ont-ils un autre intérret

entre le web et mon serveur (je ne parle pas de mon réseau interne! Notez que g un nom de domaine et un serveur exchange. Je ne pense pas que les services

netbios interviennent dans les procédures DNS... pouvez-vous me le confirmer?

http://www.microsoft.com/windows2000/fr/server/help/default.asp?url=/windows2000/fr/server/help/sag_WINS_und_NetbiosConceptsNode.htm
port-137 NETBIOS Name Service
port-138 NETBIOS Datagram Service
port-139 NETBIOS Session Service

à part Citrix quels soft utilisent ica ? Quelle utilité pour mon windows 200serveur ? Quel service l'utilise?
port-1494 ica

c juste terminal server ? Ou bien c utilisé par autre chose?
port-3389 MS WBT Server (windows based terminal server)

Voilà, j'ai détaillé un maximum ma situation et mes questions. J'ai fais quelques recherches avant des les poser.

Si vous avez besoins de plus d'infos n'hésitez pas!

Merci!

[fraedhrim]

Oak !!

Paie ta passoire !
Tu n'as pas eu de soucis avec Blaster/Sasser ?

Bref pour répondre à tes questions apparemment tu peux tout virer.

FTP : n'influe que sur les accès entrants et donc pas sur la navigation Internet
HTTP : idem
HTTPS : idem
SSH : inutile si plus de serveur SSHd à accéder depuis l'extérieur
x400 : n'influe que sur les accès entrants donc pas sur les accès internes
POP, SMTP,.... : inutile si pas d'envoi de mails vers l'extérieur ou de l'extérieur (laisser SMTP sinon mais niveau sécurité c'est pas terrible)
hostname server : c'est ptet un truc du genre résolution Wins, rien à faire vis à vis de l'extérieur de toutes façons
135 : juste utile pour se chopper des virus !
136 : ??? tu vires
netbios : sert au partage de fichiers et imprimantes (et ptet wins), rien à faire vis à vis de l'extérieur sauf pour se chopper des virus et faire connaître ses données au monde : à virer
ica : c'est du Citrix. Si personne ne s'en sert à ta connaissance tu vires


Je me pose des questions sur ton prédécesseur... Il est en prison maintenant ?

Blagues à part. Vire tout tout de suite. Et pose toi la questions de savoir si ton serveur doit être accédé de l'extérieur et pourquoi. Vu ce que tu nous dit je ne vois que le SMTP et encore à condition que tu échanges des maisl via Exchange avec l'extérieur.

A+ si tu as besoin de détails.

[mrjeanguy]

Et bien merci c t un peu mon opinion mais j'avais besoin d'être rassuré!!

Pour exchange nous envoyons biens des mails vers l'extérieur!!! donc smtp je dois laisser (je ne vois pas comment faire d'autre à part une dmz, une passerelle etc mais ce sera pour plus tard).

Et bien encore merci je suis soulagé et rassuré!!

Bonne fin de journée et bon WE à toi...

Pour le prédécesseur t pas loin... il a frolé les ennuis suite à quelques indiscrétions (vols d'infos etc)... tu devrais te lancer dans la voyance!! "fraedhrim: Consultance informatique & voyance"!! ça le fait lol!

Pour les virus, McAfee fait très très bien son job!! (heureusement) C'est vraiment un très bon AV!!!

[fraedhrim]

LOL

Ouais pour les mails les passerelles c'est top. Mais effectivementc'est plus compliqué (encore que avec un linux et un sendmail pif pof ça marche tout seul, tu peux même mettre un antivirus et là rock 'n roll.... ).

A+ pour de nouvelles aventures (comment qu'y s'la pète c'ui là)