it-swarm.dev

Perché bloccare il traffico di rete in uscita con un firewall?

In termini di una rete domestica, c'è qualche motivo per configurare un firewall del router in modo che tutte le porte in uscita siano bloccate e quindi aprire porte specifiche per cose come HTTP, HTTPS, ecc. Dato che tutti i computer della rete sono affidabili, sicuramente la quantità di sicurezza aggiuntiva fornita dal blocco delle porte in uscita sarebbe praticamente trascurabile?

62
Alex McCloy

Il blocco del traffico in uscita è di solito utile nel limitare ciò che un utente malintenzionato può fare dopo aver compromesso un sistema sulla rete.

Quindi, ad esempio, se sono riusciti a ottenere malware su un sistema (tramite un'e-mail infetta o una pagina del browser), il malware potrebbe provare a "chiamare home" a un sistema di comando e controllo su Internet per scaricare codice aggiuntivo o accettare compiti da un sistema di controllo (es. invio di spam)

Il blocco del traffico in uscita può aiutare a impedire che ciò accada, quindi non è tanto impedirti di infettarti quanto renderlo meno male quando è successo.

Potrebbe essere eccessivo per una rete domestica anche se ci sono molti programmi che rendono le connessioni in uscita e dovresti dedicare un po 'di tempo a impostare tutte le eccezioni.

65
Rory McCune

Proveniente da un ruolo di sicurezza, in particolare se sei mai stato coinvolto nella risposta agli incidenti, l'idea del filtro in uscita sembrerebbe un corso naturale in un ambiente ad alta sicurezza. Tuttavia, è un'impresa molto grande e complessa. Indica le parole "filtro di uscita" a un amministratore di firewall, rete o sistemi e probabilmente otterrai questa risposta.

enter image description here

Pertanto, mentre sappiamo che gli ambienti ad alta sicurezza potrebbero averne bisogno e garantire il lavoro extra, a volte può essere difficile ottenere il buy-in. Soprattutto quando a un'unità il cui compito principale è di mantenere i tempi di attività viene improvvisamente chiesto di assumere una quantità potenzialmente significativa di manutenzione extra per realizzare qualcosa che ha un'alta probabilità di ridurre i tempi di attività.

In questo caso, saremmo remis per non menzionare l'angolo di conformità. Diamo un'occhiata al PCI-DSS v2.0 per un momento. Requisiti La sezione 1 tratta i sistemi e la sicurezza della rete. Questo è rilevante qui:

1.3.5

Non consentire il traffico in uscita non autorizzato dall'ambiente dei dati dei titolari di carta a Internet.

Per quanto a tutti noi piace parlare di come "La conformità è un punto di partenza" nel mondo reale a volte l'unica trazione che possiamo ottenere è l'obiettivo di compilare quella casella di controllo o passare l'audit. Dai un'occhiata ai documenti di conformità rilevanti per il tuo campo o servizio potrebbero essere utili. Mentre PCI-DSS è esclusivamente un requisito industriale, concordato dal diritto contrattuale, è un insieme abbastanza specifico di requisiti che ho visto adottato come uno standard per l'audit in altri luoghi che hanno requisiti meno ben definiti.

26
Scott Pack

A meno che tu non blocchi tutto il traffico in uscita diverso da una whitelist di siti Web legittimi che visiti (e/o utilizzi un proxy che esegue la whitelist e la scansione di sicurezza), c'è poca sicurezza aggiuntiva da ottenere bloccando tutte le porte tranne 80/443. Bene, bloccare la porta 25 potrebbe essere utile per impedire che la tua rete venga utilizzata per inviare spam.

Molte botnet comunicano già su HTTP per connettersi alla propria rete di comando/controllo poiché sanno che altre porte potrebbero essere bloccate (alcune addirittura utilizzano DNS come protocollo di comando/controllo). Quindi, se hai intenzione di connettere la tua rete a qualsiasi server HTTP, allora non ti stai offrendo molta protezione aggiuntiva dall'unione a una botnet e incontrerai continuamente problemi quando provi a eseguire cose che usano altre porte come VPN, videoconferenza, giochi online, siti Web su porte non standard, FTP, ecc. E dovresti davvero controllare regolarmente i log per cercare segni di infezione.

Probabilmente non vale la seccatura su una rete domestica. Probabilmente stai meglio impiegando il tuo tempo a cercare di prevenire l'infezione da malware in primo luogo piuttosto che a mitigare i danni una volta che sei stato infettato.

21
Johnny

Il blocco del traffico in entrata può solo impedire al traffico indesiderato di raggiungere la tua rete interna. Tuttavia, se ricevi malware su un computer interno (tramite l'esecuzione di un eseguibile non attendibile o tramite un exploit) puoi comunque essere colpito.

Il blocco del traffico in uscita aiuta a limitare il danno, impedendo al malware di connettersi a un server di comando e controllo o esfiltrare i dati. Mentre la tua macchina sarà comunque compromessa, potrebbe salvarti dal farti rubare i tuoi dati personali da un keylogger.

10
Polynomial

Due motivi:

  1. Nel caso in cui il malware entri nella tua rete, il blocco del traffico in uscita può talvolta contenere il danno impedendo al malware di contattare un server remoto. Se si esegue il firewall a livello di computer, è possibile anche impedire al malware di diffondersi ulteriormente attraverso la rete. Non consentire il traffico in uscita significa anche che la tua macchina diventa meno interessante come parte di una botnet.
  2. Il software legittimo con funzionalità di rete potrebbe essere vulnerabile e potrebbe essere indotto a configurare connessioni in uscita che possono quindi essere utilizzate per compromettere ulteriormente il sistema. Si consideri, ad esempio, un server Web che esegue un'applicazione con un difetto che consente a un utente malintenzionato di indurlo a scaricare file su Internet invece di aprire file locali (tale difetto è facile da produrre e trascurare, ad esempio, in PHP) . Se lo hai correttamente disattivato con il firewall, la richiesta fallirà semplicemente e potrebbe persino attivare un allarme da qualche parte.
7
tdammers

Oltre al controllo dei danni dopo un compromesso, potresti anche voler:

  • Controlla come (e se) utenti e processi all'interno della rete utilizzano Internet

  • Monitora i tuoi processi interni per rilevare malware ("scansione passiva delle vulnerabilità")

3
tylerl

Il blocco delle query DNS in uscita in modo che il DNS possa essere instradato solo attraverso il server DNS preferito (server DNS aziendale, OpenDNS, Quad9, DNS pubblico di Google, ecc.) È abbastanza comune su una rete che è stata in qualche modo protetta.

US-CERT ha un articolo informativo su questo, ed elenca gli impatti di non farlo:

A meno che non siano gestiti da soluzioni tecniche perimetrali, i sistemi client e le applicazioni possono connettersi a sistemi al di fuori del controllo amministrativo dell'impresa per la risoluzione DNS. Ai sistemi aziendali interni dovrebbe essere consentito solo di avviare richieste e ricevere risposte dai server dei nomi di cache DNS aziendali approvati. Consentire ai sistemi client e alle applicazioni di connettersi direttamente all'infrastruttura DNS Internet introduce rischi e inefficienze per l'organizzazione, che includono:

  • Monitoraggio e registrazione del traffico DNS ignorati; questo tipo di monitoraggio è uno strumento importante per rilevare potenziali maliziosi
    attività di rete.
  • Funzionalità di filtraggio della sicurezza DNS aziendale bypassate (sinkhole/redirect o blackhole/block); ciò può consentire ai client di accedere a domini dannosi che altrimenti verrebbero bloccati.
  • Interazione del client con server DNS compromessi o dannosi; ciò può causare risposte DNS imprecise per il dominio richiesto (ad es.
    il client viene inviato a un sito di phishing o viene fornito codice dannoso).
  • Perse le protezioni contro l'avvelenamento da cache DNS e gli attacchi denial of service. Gli effetti attenuanti di un'architettura DNS a livelli o gerarchica (ad es. Server DNS interni ed esterni separati, split DNS, ecc.) Utilizzati per prevenire tali attacchi vengono persi.
  • Velocità di navigazione in Internet ridotta poiché la memorizzazione nella cache DNS aziendale non verrebbe utilizzata.

https://www.us-cert.gov/ncas/alerts/TA15-240A

3

"c'è poca sicurezza aggiuntiva da ottenere bloccando tutte le porte tranne 80/443".

a meno che tu non stia eseguendo un proxy per nascondere il tuo IP, quale codice da un sito Web (o iniettato in un sito Web) potrebbe bypassare telefonando a casa su una porta diversa, bypassando così il tuo proxy (che normalmente sarà configurato solo per reindirizzare in uscita traffico sulle porte normalmente utilizzate dal tuo browser).

Questo è così semplice che chiunque usi Tor dovrebbe esserne consapevole, dal momento che perfora un buco attraverso la maschera che Tor fornisce.

Soluzione: instradare TUTTE le porte attraverso il proxy (Tor non consiglia a causa della perdita di prestazioni) o bloccare tutte le porte in uscita ad eccezione di quelle specificatamente instradate attraverso il proxy.

2
mr random

Questo pensiero è guidato da tutte le perdite NSA e GCHQ negli ultimi mesi: non bloccarlo: reindirizza tutti i pacchetti a un host di fiducia tuo o di qualcun altro per un ulteriore esame. Questo è il unico modo per farli catturare.

0
ott--

Un approccio migliore per una rete domestica è un "firewall personale" software che gira su ciascun PC e richiede all'utente se desidera consentire a un programma che sta tentando di stabilire una connessione in uscita per farlo.

Questo, sebbene inizialmente fastidioso quando ti chiede tutto mentre cerca di capire cosa dovrebbe essere permesso, è più facile da mantenere in un ambiente domestico rispetto a un firewall di rete che fa il blocco in uscita che non ha idea della differenza tra Google Chrome effettua una richiesta per la pagina Web e LulzBot2000 (sì, l'ho inventato) facendo una richiesta web per payload di malware.

0
Rod MacPherson