Филтрирање саобраћаја
Ради заштите од напада са Интернета и очувања примарне функција АМРЕС мреже, АМРЕС обавља филтрирање мрежног саобраћаја. Овим проактивним приступом врши се заштита мрежне и серверске инфраструктуре институција повезаниx на АМРЕС инфраструктуру, као и АМРЕС крајњих корисника.
Филтирање саобраћаја се обавља на два нивоа:
- Филтирањем на транспортном нивоу, филтрирају се недозвољених протоколи. Више о овом начину филтирања можете прочитати у наставку текста.
- Филтирањем веб-саобраћаја путем Веб-прокси услуге, врши се заштита крајњих корисника од малициозног садржаја на веб страницама и осигурава се квалитетна веза ка Интернету за потребе научно-истраживачке заједнице.
Филтрирање на транспортном нивоу
Филтрирање мрежног саобраћаја на транспортном нивоу подразумева филтрирање апликација и сервиса коришћењем филтера (енг. Firewall Filter / Access Control List) на мрежним уређајима АМРЕС-а. Апликације и сервиси користе одређене протоколе и портове за комуникацију, а филтерима на мрежним уређајима се дефинишу правила о томе који протоколи и портови су дозвољени за прослеђивање саобраћаја у мрежи. Уколико протокол и порт које одређени сервис или апликација користе није дозвољен у мрежним филтерима, посматрана апликација или сервис неће функционисати у АМРЕС мрежи.
Филтрирање мрежног саобраћаја се обавља у:
- АМРЕС приступним тачкама и
- Централном чворишту АМРЕС инфраструктуре
Филтрирање у АМРЕС приступним тачкама
АМРЕС приступна тачка је место у Академској мрежи где се инфраструктура АМРЕС корисника повезује на АМРЕС мрежу. У АМРЕС приступним тачкама се налазe мрежни уређаји на којима се филтрира саобраћај који долази од стране АМРЕС корисника и улази у АМРЕС мрежу. Филтрирање саобраћаја у АМРЕС приступној тачки има за циљ филтрирање најрањивијих мрежних сервиса који се најчешће не користе а могу угрозити правилно функционисање инфраструктуре АМРЕС-а и других АМРЕС корисника. У приступним тачкама АМРЕС-а филтрирају се следећи сервиси:
| СЕРВИС | ПОРТОВИ | СМЕР САОБРАЋАЈА | АКЦИЈА |
|---|---|---|---|
| ICMP | долазни/одлазни | Филтрира се све осим порука echo-request, echo-reply, time-exceeded, unreachable | |
| Echo | tcp 7 | долазни/одлазни | Филтрира се |
| Discard | tcp/udp 9 | долазни/одлазни | Филтрира се |
| Daytime | tcp/udp 13 | долазни/одлазни | Филтрира се |
| Qoute of the Day | tcp/udp 17 | долазни/одлазни | Филтрира се |
| Chargen | tcp/udp 19 | долазни/одлазни | Филтрира се |
| RPC | tcp/udp 135, 593 | долазни/одлазни | Филтрира се |
| NetBios | tcp/udp 137, 138, 139 | долазни/одлазни | Филтрира се |
| Microsoft-DS | tcp 445 | долазни/одлазни | Филтрира се |
| SQL | tcp/udp 1433 1434 1521 1522 1525 1529 3306 5432 | долазни/одлазни | Филтрира се |
| SMTP | tcp 25 | одлазни | Филтрира се сав саобраћај осим оног који долази са пријављеног имејл сервера |
АМРЕС корисник треба да пријави АМРЕС-у IP адресе својих имејл сервера како би ти сервери били изузети од филтрирања SMTP саобраћаја. Пријаву IP адреса имејл сервера врши особа за технички контакт слањем имејла АМРЕС хелпдеск служби. Изузимајући сервисе наведене у табели изнад, допушта се сав остали саобраћај од АМРЕС корисника ка остатку АМРЕС мреже.
Филтирање у централном чворишту АМРЕС
Централно чвориште АМРЕС инфраструктуре представља језгро АМРЕС мреже у коме се налазе мрежни уређаји и опрема који повезују целокупну Академску мрежу на Интернет. Филтрирање саобраћаја у АМРЕС централном чворишту има за циљ регулисање саобраћаја који АМРЕС корисник размењује са Интернетом. Допушта се скуп основних и најчешће коришћених сервиса док се остали саобраћај филтрира. Филтрирање осталих протокола и сервиса се врши како би се спречио малициозни саобраћај са Интернета који може угрозити правилно функционисање инфраструктуре АМРЕС-а и АМРЕС корисника. Следећи сервиси и протоколи су допуштени у комуникацији са Интернетом:
| СЕРВИС | ПОРТОВИ | СМЕР САОБРАЋАЈА | АКЦИЈА |
|---|---|---|---|
| ICMP | долазни/одлазни | Допуштају се само echo-request, echo-reply, time-exceeded, unreachable | |
| GRE | долазни/одлазни | Допушта се | |
| AH | долазни/одлазни | Допушта се | |
| ESP | долазни/одлазни | Допушта се | |
| FTP, FTPS | tcp 20, 21; tcp/udp 989, 990 | долазни/одлазни | Допушта се |
| SSH | tcp 22 | долазни/одлазни | Допушта се |
| SMTP i SMTP SSL | tcp 25, 587 (465) | долазни/одлазни | Допушта се |
| NTP, TIME, SNTP | udp 123; tcp/udp 580 | долазни/одлазни | Допушта се |
| DNS | tcp/udp 53 | долазни/одлазни | Допушта се |
| HTTP/HTTPS | tcp 80, 443 | долазни/одлазни | Допушта се серверима. Крајњи корисници морају користити веб-прокси услугу |
| Kerberos | tcp/udp 88 | долазни/одлазни | Допушта се |
| POP3 i POP3 SSL | tcp 110, 995 | долазни/одлазни | Допушта се |
| SFTP | tcp/udp 115 | долазни/одлазни | Допушта се |
| NNTP | tcp 119 | одлазни | Допушта се |
| SciFinder | tcp 210 | одлазни | Допушта се |
| IMAP i IMAP SSL | tcp 143, 993 | долазни/одлазни | Допушта се |
| IRC | tcp, udp 194; tcp 6665 - 6669 | долазни/одлазни | Допушта се |
| IPSec | udp 500, 4500; tcp/udp 10000; ah, esp | долазни/одлазни | Допушта се |
| Webmin | tcp/udp 10000 | одлазни | Допушта се |
| AppleShare | tcp 548 | долазни/одлазни | Допушта се |
| SpamAssasin | tcp 783, 2703 | долазни/одлазни | Допушта се |
| RSYNC | tcp 873 | долазни/одлазни | Допушта се |
| OpenVPN | tcp/udp 1194 | долазни/одлазни | Допушта се |
| L2TP VPN | tcp/udp 1701 | долазни/одлазни | Допушта се |
| Polycom | tcp 1720, 5060; udp 3230 – 3237, 5060 | долазни/одлазни | Допушта се |
| PPTP | tcp/udp 1723 | долазни/одлазни | Допушта се |
| RADSec | tcp/udp 2083 | долазни/одлазни | Допушта се |
| Apple Remote Desktop | tcp/udp 3283; tcp 5900,5988 | долазни/одлазни | Допушта се |
| Remote Desktop (RDP) | tcp 3389 | долазни/одлазни | Допушта се |
| E-banking (UniCredit) | tcp 3600, 3604 | одлазни | Допушта се |
| iTunes | tcp 3689 | одлазни | Допушта се |
| Subversion (SVN), WMS | tcp/udp 3690 | долазни/одлазни | Допушта се |
| ICQ | udp 4000; tcp, udp 5190 | долазни/одлазни | Допушта се |
| OMA BCAST | tcp/udp 4090 | долазни/одлазни | Допушта се |
| Viber | tcp 4244, 5242; udp 5243, 9785 | долазни/одлазни | Допушта се |
| tcp 4244, 5222, 5223, 5228,5242 | долазни/одлазни | Допушта се | |
| Google Play | tcp/udp 5228 | долазни/одлазни | Допушта се |
| Yahoo Voice | tcp/udp 5000 – 5010, tcp 5100 | долазни/одлазни | Допушта се |
| SIP | tcp/udp 5060, 5061 | долазни/одлазни | Допушта се |
| PC Anywhere | tcp/udp 5631 | долазни/одлазни | Допушта се |
| VNC | tcp 5800; tcp/udp 5900 | долазни/одлазни | Допушта се |
| Calendar Server | tcp 8008 | одлазни | Допушта се |
| TeamSpeak | tcp 14534, 51234; udp 8767 | долазни/одлазни | Допушта се |
| GIT | tcp, udp 9418 | долазни/одлазни | Допушта се |
| NetPerf | tcp 12865 | долазни/одлазни | Допушта се |
| TCP/UDP TRACEROUTE (LINUX) | udp 33434 - 33465 | долазни/одлазни | Допушта се |
| FaceTime | udp 3478-3497, 16384-16387, 16393-16402 | долазни/одлазни | Допушта се |
Изузимајући сервисе наведене у табели изнад, филтрира се сав остали саобраћај који АМРЕС корисник размењује са Интернетом.
Уколико АМРЕС корисник има потребу за коришћењем одређеног сервиса или протокола, а који је филтриран према политици АМРЕС-а, потребно је да се обрати АМРЕС хелпдеск служби са захтевом за пуштање истог. Особа за технички контакт АМРЕС корисника треба да пошаље имејл хелпдеск служби у коме ће навести IP адресе и портове којима је потребно дозволити комуникацију као и разлог коришћења посматраног сервиса. АМРЕС ће у најкраћем могућем року одговорити на захтев.