How to open access from out side the technion/faculty?
Open internet ports procedures in PDF format
We do not open access directly to local stations at the faculty for any service,
Please use faculty servers or lab servers for such access.
For lab servers please ask your lab engineer to open a Helpdesk request and to contact us with all the service port details.
הליך פתיחת גישה לשרת ברשת הפקולטית
ההליך בא להסדיר את התנאים לפתיחת גישה מחוץ לטכניון ומחוץ לפקולטה לשרת הנמצא ברשת הפקולטית.
מטרת ההליך להסדיר את הטיפול השוטף בשרת ולמקד אחריות לתקינותו,
המטרה גם לצמצם את הנזק שיגרם במידה ויקרה אירוע אבטחה באמצעות הגישה הזו.
כדי להשלים את פתיחת הגישה יש למלא את כל התנאים הבאים :
-
- על השרת להשתייך למערכת ניהול הרשאות חשבונות פקולטית ולא מנוהל עצמאית.
- לא קיים שרת אחר כבר קיים שמאפשר את אותה גישה.
- על השרת מותקן firewall מקומי וכל האמצעים המבטיחים אתה תקינותו. מסתמך נוהל התחברות לרשת הפקולטית.
- יש מדיניות פקולטית המופעלת על השרת.
- אחראי השרת חותם על הבקשה לפתיחת הגישה.
- אין גישה מהשרת לשטחי אחסון בפרוטוקולים לא מאובטחים.
- מופעל ניטור ודיווח לאחראי המערכת.
- מתבצע אימות של השרת ברשת.
- בכל מקרה של פריצה אחראי השרת עובד לפי נוהל אירוע אבטחה טכניוני תוך ידוע צוות המחשוב של הפקולטה.
- פתיחת גישה לשרת תוקצב בזמן, בתום הזמן אחראי השרת יצטרך לבקש גישה מחדש.
- בנוסף אחראי השרת יזום סריקת מצב הפורטים הפתוחים ובדיקתם מחדש בכול תחילת סמסטר ופעם נוספת חודש לאחר מכן.
- כל שינוי במצב השרת או השרות כולל העברת אחריות על השרת תיעשה בתיאום מלא עם צוות המחשוב הפקולטי.
- המלצה : להתקין certificate חתום פקולטי לגישות מוצפנות.
לאחר תום וידוא כל התנאים תועבר הבקשה למנהל הfirewall .
כאן הפירוט לפי מערכות הפעלה נפוצות:
דרישות סף משרת לינוקס לפני פתיחת פורטים :
מנגנון AUDIT עובד הלוגים מתעדכנים.
מופעל firewall מקומי שמשאר רק את הservice פתוח.
עדכוני אבטחה מתבצעים באופן אוטומטי.
גישת SSH או כל גישה אחרת רק למשתמשים ללא הרשאות מיוחדות בפרוטוקולים מאובטחים.
יש אכיפת החלפת סיסמאות למנהלי המערכת המלצה להשתמש בפקודה chage .
יש שימוש בבקרת כניסה לגישה לשרת המלצה להשתמש במנגנון ה access.conf.
מותקנת תוכנת ניטור או יש להצטרף לשרות הניטור הפקולטי הקיים כבר.
המלצה לגבי התקנת שרות הפתוח בfirewall הטכניוניוני כגון APACHE יש לבצע מתוך repository של ההפצה ולא מקוד מקור. כך עדכוני האבטחה יכללו את התוכנה החדשה.
המלצה להתקין certificate שחתום עלידי רשות מוסמכת ולא self signed
דרישות סף משרת Windows לפני פתיחת פורטים:
Anti virus installation + daily update
enable log ofall account and priv change events
enable firewall
Microsoft updates enabled.
change local admin username + complex password.
If in domain, move to a servers OU. do not leave in “Computers”.
and same as Linux for certs, manager, monitoring, etc