Perché bloccare il traffico di rete in uscita con un firewall?

Il blocco del traffico in uscita è di solito un vantaggio nel limitare ciò che un utente malintenzionato può fare una volta che ha compromesso un sistema sulla rete.

Quindi, ad esempio, se sono riusciti a trasferire malware su un sistema (tramite una pagina di e-mail o browser infetta), il malware potrebbe provare a "chiamare casa" a un sistema di comando e controllo su Internet per ottenere ulteriori codice scaricato o per accettare attività da un sistema di controllo (ad es. invio di spam)

Il blocco del traffico in uscita può aiutare a impedire che ciò accada, quindi non è tanto il fermarsi dall'essere infettato quanto meno farlo male quando è successo.

Potrebbe essere eccessivo per una rete domestica, dal momento che ci sono molti programmi che rendono le connessioni in uscita ed è necessario dedicare un po 'di tempo alla configurazione di tutte le eccezioni.

Provenendo da un ruolo di sicurezza, in particolare se sei mai stato coinvolto nella risposta agli incidenti, l'idea del filtraggio in uscita sembrerebbe un corso naturale in un ambiente ad alta sicurezza. Tuttavia, è un'impresa molto grande e complessa. Indica le parole "filtraggio in uscita" a un firewall, rete o amministratore di sistema e probabilmente otterrai questa risposta.

Quindi,anchesesappiamochegliambientiadaltasicurezzapotrebberoaverbisognodiquesto,egarantirebbeillavoroextra,avoltepuòesseredifficileottenereunbuy-in.Soprattuttoquandoun'unitàchehailcompitoprimariodimantenerel'uptimevieneimprovvisamenteinvitataadassumereunaquantitàpotenzialmentesignificativadimanutenzioneextraperrealizzarequalcosachehaun'altaprobabilitàdiridurreitempidiattività.

Inquestocasosaremmoiremisanonmenzionarel'angolodiconformità.Diamoun'occhiataalPCI-DSSv2.0perunmomento.Lasezione1deirequisititrattaisistemielasicurezzadellarete.Questoèrilevantequi:

1.3.5

DonotallowunauthorizedoutboundtrafficfromthecardholderdataenvironmenttotheInternet.

Perquantotutticipiaceparlaredicome"Compliance è un punto di partenza" nel mondo reale, a volte l'unica trazione che possiamo ottenere è l'obiettivo di riempire tale checkbox o passare quella verifica . Potrebbe essere utile dare un'occhiata ai documenti di conformità rilevanti per il proprio campo o servizio. Sebbene PCI-DSS sia esclusivamente un requisito del settore, concordato con la legge sui contratti, è un insieme di requisiti abbastanza specifico che ho visto adottato come standard da verificare in altri luoghi che hanno requisiti meno ben definiti.

A meno che non blocchi tutto il traffico in uscita oltre a una lista bianca di siti Web legittimi visitati (e / o utilizzi un proxy che esegue la whitelist e la scansione di sicurezza), è possibile ottenere una protezione aggiuntiva dal blocco di tutte le porte tranne 80/443. Beh, bloccare la porta 25 potrebbe essere utile per impedire che la rete venga utilizzata per inviare spam.

Molte reti bot comunicano già tramite HTTP per connettersi alla loro rete di comando / controllo poiché sanno che altre porte potrebbero essere bloccate (alcune addirittura usano il DNS come protocollo di comando / controllo). Quindi, se hai intenzione di consentire alla tua rete di connettersi a qualsiasi server HTTP, non ti dai molta più protezione dall'entrare in una botnet, e ti imbatterai continuamente in problemi quando cerchi di eseguire cose che usano altre porte come VPN, videoconferenza, giochi online, siti Web su porte non standard, FTP, ecc. E avresti davvero bisogno di controllare regolarmente i log per cercare segni di infezione.

Probabilmente non vale il fastidio su una rete domestica. Probabilmente stai meglio spendendo tempo a cercare di prevenire l'infezione da malware in primo luogo che a mitigare i danni una volta che sei stato infettato.

Il blocco del traffico in entrata può impedire solo al traffico non richiesto di raggiungere la rete interna. Tuttavia, se ottieni malware su una macchina interna (eseguendo un eseguibile non attendibile o tramite un exploit) puoi comunque essere colpito.

Il blocco del traffico in uscita aiuta a limitare il danno, impedendo al malware di connettersi a un comando & controllare il server o esfiltrare i dati. Anche se la tua macchina sarà ancora compromessa, potrebbe salvarti dal furto dei tuoi dati personali da parte di un keylogger.

Due motivi:

1. Nel caso in cui il malware entri nella tua rete, il blocco del traffico in uscita può a volte contenere il danno impedendo al malware di contattare un server remoto. Se il firewall è a livello macchina, è possibile che il malware si diffonda ulteriormente attraverso la rete. Disabilitare il traffico in uscita significa anche che la tua macchina diventa meno interessante come parte di una botnet.
2. Un software legittimo con funzionalità di rete potrebbe essere vulnerabile e potrebbe essere indotto a configurare connessioni in uscita che possono essere utilizzate per compromettere ulteriormente il sistema. Si consideri, ad esempio, un server Web che esegue un'applicazione con un difetto che consente a un utente malintenzionato di ingannarlo per scaricare file su Internet invece di aprire file locali (tale errore è facile da produrre e trascurare, ad esempio, PHP) . Se hai disattivato correttamente il firewall, la richiesta semplicemente fallirà e forse innescherà anche un allarme da qualche parte.

Al di là del controllo del danno dopo un compromesso, potresti anche voler:

• Controlla come (e se) gli utenti e i processi all'interno della rete usano Internet

• Monitora i tuoi processi interni per rilevare il malware ("scansione di vulnerabilità passiva")

" there's little additional security to be gained from blocking all ports except 80/443. "

a meno che tu non stia eseguendo un proxy per mascherare il tuo IP, quale codice da un sito web (o iniettato in un sito web) potrebbe bypassare telefonando a casa su una porta diversa, bypassando così il tuo proxy (che sarà normalmente configurato solo per reindirizzare il traffico in uscita sulle porte solitamente utilizzate dal browser).

Questo è così semplice che chiunque usi Tor dovrebbe esserne a conoscenza, dato che colpisce un foro attraverso la maschera fornita da Tor.

Soluzione: Instradare TUTTE le porte tramite il proxy (Tor non è consigliabile a causa della perdita di prestazioni) o bloccare tutte le porte in uscita tranne quelle specificatamente instradate tramite il proxy.

Il blocco delle query DNS in uscita in modo che il DNS possa essere instradato solo attraverso il server DNS preferito (server DNS aziendale, OpenDNS, Quad9, Google Public DNS, ecc.) è abbastanza comune in una rete che è stata in qualche modo protetta.

US-CERT ha un articolo informativo su questo, ed elenca gli impatti di non così facendo:

Unless managed by perimeter technical solutions, client systems and applications may connect to systems outside the enterprise’s administrative control for DNS resolution. Internal enterprise systems should only be permitted to initiate requests to and receive responses from approved enterprise DNS caching name servers. Permitting client systems and applications to connect directly to Internet DNS infrastructure introduces risks and inefficiencies to the organization, which include:

• Bypassed enterprise monitoring and logging of DNS traffic; this type of monitoring is an important tool for detecting potential malicious
  network activity.
• Bypassed enterprise DNS security filtering (sinkhole/redirect or blackhole/block) capabilities; this may allow clients to access malicious domains that would otherwise be blocked.
• Client interaction with compromised or malicious DNS servers; this may cause inaccurate DNS responses for the domain requested (e.g.,
  the client is sent to a phishing site or served malicious code).
• Lost protections against DNS cache poisoning and denial-of-service attacks. The mitigating effects of a tiered or hierarchical (e.g., separate internal and external DNS servers, split DNS, etc.) DNS architecture used to prevent such attacks are lost.
• Reduced Internet browsing speed since enterprise DNS caching would not be utilized.

link

Questo pensiero è guidato da tutte le perdite di NSA e GCHQ negli ultimi mesi: non bloccarlo: reindirizza tutti i pacchetti a un host fidato di tuo o di qualcun altro per un ulteriore esame. Questo è l'unico modo per farli catturare.

Un approccio migliore per una rete domestica è un "firewall personale" software che viene eseguito su ciascun PC e richiede all'utente se desidera consentire a un programma che sta tentando di stabilire una connessione in uscita.

Questo, sebbene inizialmente fastidioso quando ti chiede di tutto mentre cerca di capire cosa dovrebbe essere consentito, è più facile da mantenere in un ambiente domestico rispetto a un firewall di rete che fa blocco in uscita che non ha alcun concetto della differenza tra Google Chrome facendo una richiesta per una pagina web e LulzBot2000 (sì, l'ho inventato) facendo una richiesta web per i payload del malware.