Филтрирање саобраћаја

Ради заштите од напада са Интернета и очувања примарне функција АМРЕС мреже, АМРЕС обавља филтрирање мрежног саобраћаја. Овим проактивним приступом врши се заштита мрежне и серверске инфраструктуре институција повезаниx на АМРЕС инфраструктуру, као и АМРЕС крајњих корисника. 

Филтирање саобраћаја се обавља на два нивоа:

Филтрирање на транспортном нивоу

Филтрирање мрежног саобраћаја на транспортном нивоу подразумева филтрирање апликација и сервиса коришћењем филтера (енг. Firewall Filter / Access Control List) на мрежним уређајима АМРЕС-а.  Апликације и сервиси користе одређене протоколе и портове за комуникацију, а филтерима на мрежним уређајима се дефинишу правила о томе који протоколи и портови су дозвољени за прослеђивање саобраћаја у мрежи. Уколико протокол и порт које одређени сервис или апликација користе није дозвољен у мрежним филтерима, посматрана апликација или сервис неће функционисати у АМРЕС мрежи.

Филтрирање мрежног саобраћаја се обавља у:

  • АМРЕС приступним тачкама и
  • Централном чворишту АМРЕС инфраструктуре

Филтрирање у АМРЕС приступним тачкама

АМРЕС приступна тачка је место у Академској мрежи где се инфраструктура АМРЕС корисника повезује на АМРЕС мрежу. У АМРЕС приступним тачкама се налазe мрежни уређаји на којима се филтрира саобраћај који долази од стране АМРЕС корисника и улази у АМРЕС мрежу. Филтрирање саобраћаја у АМРЕС приступној тачки има за циљ филтрирање најрањивијих мрежних сервиса који се најчешће не користе а могу угрозити правилно функционисање инфраструктуре АМРЕС-а и других АМРЕС корисника. У приступним тачкама АМРЕС-а филтрирају се следећи сервиси:

СЕРВИС ПОРТОВИ СМЕР САОБРАЋАЈА АКЦИЈА
ICMP   долазни/одлазни Филтрира се све осим порука echo-request, echo-reply, time-exceeded, unreachable
Echo tcp 7 долазни/одлазни Филтрира се
Discard tcp/udp 9 долазни/одлазни Филтрира се
Daytime tcp/udp 13 долазни/одлазни Филтрира се
Qoute of the Day tcp/udp 17 долазни/одлазни Филтрира се
Chargen tcp/udp 19 долазни/одлазни Филтрира се
RPC tcp/udp 135, 593 долазни/одлазни Филтрира се
NetBios tcp/udp 137, 138, 139 долазни/одлазни Филтрира се
Microsoft-DS tcp 445 долазни/одлазни Филтрира се
SQL tcp/udp 1433 1434 1521 1522 1525 1529 3306 5432 долазни/одлазни Филтрира се
SMTP tcp 25 одлазни Филтрира се сав саобраћај осим оног који долази са пријављеног имејл сервера

АМРЕС корисник треба да пријави АМРЕС-у IP адресе својих имејл сервера како би ти сервери били изузети од филтрирања SMTP саобраћаја. Пријаву IP адреса имејл сервера врши особа за технички контакт слањем имејла АМРЕС хелпдеск служби. Изузимајући сервисе наведене у табели изнад, допушта се сав остали саобраћај од АМРЕС корисника ка остатку АМРЕС мреже.

Филтирање у централном чворишту АМРЕС

Централно чвориште АМРЕС инфраструктуре представља језгро АМРЕС мреже у коме се налазе мрежни уређаји и опрема који повезују целокупну Академску мрежу на Интернет. Филтрирање саобраћаја у АМРЕС централном чворишту има за циљ регулисање саобраћаја који АМРЕС корисник размењује са Интернетом. Допушта се скуп основних и најчешће коришћених сервиса док се остали саобраћај филтрира. Филтрирање осталих протокола и сервиса се врши како би се спречио малициозни саобраћај са Интернета који може угрозити правилно функционисање инфраструктуре АМРЕС-а и АМРЕС корисника. Следећи сервиси и протоколи су допуштени у комуникацији са Интернетом:

СЕРВИС ПОРТОВИ СМЕР САОБРАЋАЈА АКЦИЈА
ICMP   долазни/одлазни Допуштају се само echo-request, echo-reply, time-exceeded, unreachable
GRE   долазни/одлазни Допушта се
AH   долазни/одлазни Допушта се
ESP   долазни/одлазни Допушта се
FTP, FTPS tcp 20, 21; tcp/udp 989, 990 долазни/одлазни Допушта се
SSH tcp 22 долазни/одлазни Допушта се
SMTP i SMTP SSL tcp 25, 587 (465) долазни/одлазни Допушта се
NTP, TIME, SNTP udp 123; tcp/udp 580 долазни/одлазни Допушта се
DNS tcp/udp 53 долазни/одлазни Допушта се
HTTP/HTTPS tcp 80, 443 долазни/одлазни Допушта се серверима. Крајњи корисници морају користити веб-прокси услугу
Kerberos tcp/udp 88 долазни/одлазни Допушта се
POP3 i POP3 SSL tcp 110, 995 долазни/одлазни Допушта се
SFTP tcp/udp 115 долазни/одлазни Допушта се
NNTP tcp 119 одлазни Допушта се
SciFinder tcp 210 одлазни Допушта се
IMAP i IMAP SSL tcp 143, 993 долазни/одлазни Допушта се
IRC tcp, udp 194; tcp 6665 - 6669 долазни/одлазни Допушта се
IPSec udp 500, 4500; tcp/udp 10000; ah, esp долазни/одлазни Допушта се
Webmin tcp/udp 10000 одлазни Допушта се
AppleShare tcp 548 долазни/одлазни Допушта се
SpamAssasin tcp 783, 2703 долазни/одлазни Допушта се
RSYNC tcp 873 долазни/одлазни Допушта се
OpenVPN tcp/udp 1194 долазни/одлазни Допушта се
L2TP VPN tcp/udp 1701 долазни/одлазни Допушта се
Polycom tcp 1720, 5060; udp 3230 – 3237, 5060 долазни/одлазни Допушта се
PPTP tcp/udp 1723 долазни/одлазни Допушта се
RADSec tcp/udp 2083 долазни/одлазни Допушта се
Apple Remote Desktop tcp/udp 3283; tcp 5900,5988 долазни/одлазни Допушта се
Remote Desktop (RDP) tcp 3389 долазни/одлазни Допушта се
E-banking (UniCredit) tcp 3600, 3604 одлазни Допушта се
iTunes tcp 3689 одлазни Допушта се
Subversion (SVN), WMS tcp/udp 3690 долазни/одлазни Допушта се
ICQ udp 4000; tcp, udp 5190 долазни/одлазни Допушта се
OMA BCAST tcp/udp 4090 долазни/одлазни Допушта се
Viber tcp 4244, 5242; udp 5243, 9785 долазни/одлазни Допушта се
WhatsApp tcp 4244, 5222, 5223, 5228,5242 долазни/одлазни Допушта се
Google Play tcp/udp 5228 долазни/одлазни Допушта се
Yahoo Voice tcp/udp 5000 – 5010, tcp 5100 долазни/одлазни Допушта се
SIP tcp/udp 5060, 5061 долазни/одлазни Допушта се
PC Anywhere tcp/udp 5631 долазни/одлазни Допушта се
VNC tcp 5800; tcp/udp 5900 долазни/одлазни Допушта се
Calendar Server tcp 8008 одлазни Допушта се
TeamSpeak tcp 14534, 51234; udp 8767 долазни/одлазни Допушта се
GIT tcp, udp 9418 долазни/одлазни Допушта се
NetPerf tcp 12865 долазни/одлазни Допушта се
TCP/UDP TRACEROUTE (LINUX) udp 33434 - 33465 долазни/одлазни Допушта се
FaceTime udp 3478-3497, 16384-16387, 16393-16402 долазни/одлазни Допушта се

 

Изузимајући сервисе наведене у табели изнад, филтрира се сав остали саобраћај који АМРЕС корисник размењује са Интернетом.

Уколико АМРЕС корисник има потребу за коришћењем одређеног сервиса или протокола, а који је филтриран према политици АМРЕС-а, потребно је да се обрати АМРЕС хелпдеск служби са захтевом за пуштање истог. Особа за технички контакт АМРЕС корисника треба да пошаље имејл хелпдеск служби у коме ће навести IP адресе и портове којима је потребно дозволити комуникацију као и разлог коришћења посматраног сервиса. АМРЕС ће у најкраћем могућем року одговорити на захтев.