Una forza distruttiva può sempre perdere informazioni attraverso i pacchetti HTTP. Dovrei preoccuparmi di configurare le regole in uscita sul mio firewall?

Stai confondendo parecchie cose.

Innanzitutto, praticamente tutti i protocolli standard (salvo FTP che dovresti evitare come la peste) hanno solo una manciata di porte standard. Poiché queste porte sono standard, non cambieranno spesso e pertanto non dovranno essere aggiornate.

Ora alcune applicazioni richiederanno l'apertura di porte specifiche. In genere, questo viene gestito attraverso un processo di eccezione: il proprietario dell'applicazione invierà una richiesta al team del firewall per l'apertura di un accesso. Di solito, questa richiesta è limitata a un intervallo specifico di sistemi interni, che vanno a un intervallo specifico di sistema esterno con un elenco specifico di porte. Questa richiesta può quindi essere compilata come documentazione e, se è concessa, la configurazione del firewall può essere aggiornata di conseguenza.

Ma le tue domande mostrano che ti stai avvicinando in modo errato. Quello che stai chiedendo sarebbe come chiedere se bloccare la porta di casa valga lo sforzo dato che sai che alcune persone hanno accesso ai bulldozer. Il processo appropriato per la progettazione di una strategia per la protezione è:

1. Identifica le risorse che desideri proteggere
2. Identifica le minacce che vuoi proteggere da
3. Identifica le misure appropriate per mitigare quelle minacce
4. Controlla il tuo risultato
5. Torna al passaggio 1.

Sembra che tu non faccia nessuno di questi eccetto il passaggio 3.

Se il tuo obiettivo è quello di impedire a un virus o a un utente malintenzionato di esfiltrare dati aziendali memorizzati su un PC che può eseguire codice arbitrario sullo stesso PC client, tu verrai protetto.

Esiste un vasto numero di siti da cui scaricare dati che sono gli stessi siti in cui anche gli utenti hanno bisogno di accesso legittimo. Semplicemente non puoi bloccarli. A meno che tu non sia disposto a bloccare essenzialmente la maggior parte di Internet, dimenticalo, non puoi farlo attraverso il blocco.

Alla fine, l'approccio di bloccare l'aggressore UNA VOLTA CHE HA I DATI È infruttuoso. È come cercare di fermare un ladro sconosciuto che ha appena rubato la Mona Lisa per lasciare il paese. Esistono troppe vie d'uscita e non si sa come sia. I ladri veramente stupidi non sarebbero mai arrivati così lontano.

Invece, dovresti concentrarti maggiormente sulla limitazione dell'accesso ai dati, in primo luogo, e eliminare le informazioni non più rilevanti. Qual è la tua politica di conservazione dei dati? Gli attaccanti non possono rubare i dati che sono stati cancellati.

Quanto investi in conoscenza, prodotti e configurazione dipende da quanto alto è il tuo rischio. Non esiste una soluzione che offra sicurezza al 100%, ma c'è una grande differenza tra la sicurezza che un semplice firewall di pacchetti può offrire o quali gateway a livello di applicazione possono fare:

• I firewall del filtro di pacchetto possono filtrare solo a livello di pacchetto (IP, porta, protocollo). Alcuni sostengono di fare alcuni filtri a livello di applicazione, ma questo è limitato a far corrispondere il contenuto di singoli pacchetti e quindi di solito può essere facilmente aggirato.
• Le soluzioni DPI approfondiscono il traffico e possono rilevare i protocolli delle applicazioni e fare alcune analisi per rilevare il malware nel traffico, ecc. Tuttavia sono generalmente limitate all'analisi passiva (principalmente) e possono quindi essere aggirate utilizzando caratteristiche di protocollo non comuni o un protocollo leggermente invalido che tuttavia è compreso dall'applicazione client (es. browser o client di posta).
• I gateway a livello di applicazione non possono solo ispezionare il traffico a livello di applicazione, ma possono anche sanitizzarlo e possono in questo modo imporre un'interpretazione coerente del traffico nel gateway e nel client. Ciò non significa che tutti lo facciano correttamente, cioè la maggior parte dei gateway a livello di applicazione per il web che ho visto possono essere semplicemente ignorati.

Quello che trovi nei vari prodotti è spesso un mix di tecnologie, ad esempio un veloce filtraggio dei pacchetti per le cose di base, alcuni DPI passivi per le cose più avanzate e, a volte, i gateway a livello di applicazione per il web e la posta.

Per quanto riguarda un malware che è già all'interno: se vuole solo telefonare a casa (comunicazione Command and Control), potrebbe essere un po 'efficace bloccare alcune porte come IRC. Ma il malware corrente di solito usa HTTP comunque, quindi ha più senso usare una lista nera di server C & C conosciuti. Una volta che queste informazioni sono note, tali blacklist possono spesso essere implementate già a livello di filtro dei pacchetti (ad esempio l'indirizzo IP di destinazione), ma il filtro dei pacchetti deve supportare tali elementi. Ma alcuni malware utilizzano siti twitter o blogging per C & C, il che rende molto difficile il blocco.

Alla fine puoi rendere più difficile per un attaccante in modo che si muova verso obiettivi più facili. Sfortunatamente, se hai dati davvero interessanti, l'hacker non lo farà perché questi dati potrebbero valere un sacco di soldi. Quindi è necessario impiegare il sistema di rilevamento delle violazioni ... - diventa solo più complesso per te e per l'aggressore e il denaro / lo sforzo necessario per entrambe le parti aumenterà. Il che significa che alla fine devi sapere prima cosa devi proteggere, quanto vale e quanti soldi puoi spendere in prodotti, formazione, conoscenza, supporto ... per combattere qualsiasi attaccante.

Stephane ha ragione, è abbastanza difficile bloccare tutto il possibile. Piuttosto, vorrei anche iniziare con l'analisi di sicurezza / rischio per identificare quali dati / sistemi dovrebbero essere protetti a quale livello. E quindi cercare i metodi per implementare il livello di protezione desiderato. Se una protezione non è possibile o è estremamente complicata tecnicamente, potrebbero esserci controlli di compensazione. Ad esempio, se non è possibile bloccare tutti i pacchetti HTTP "illegali", potresti addestrare il personale a lavorare con dati di sicurezza elevati per evitare di ricevere virus tramite e-mail e pagine Web sospette, ecc.

Come soluzione tecnica alla tua domanda, potrebbe essere non solo DPI, ma anche firewall applicativi, o software che offre controlli di sicurezza per applicazione, per GNU / Linux potrebbe essere:

• Firewall a livello di applicazione con iptables
• AppArmor
• SELinux

Inoltre, puoi dare un'occhiata ai sistemi di Prevenzione della perdita di dati .

Infine, nel nostro gruppo di ricerca abbiamo un concetto di tipo di filtro DPI ( link ), che consente solo specifici -definiti tipi di pacchetti da passare, mentre tutto il resto è bloccato. Tuttavia, IMHO, questo non è inteso per l'utilizzo quotidiano di Internet, ma questo è per i casi, quando è necessario inviare regolarmente alcuni dati al server su Internet, ma non si vuole aprire un accesso a questo server. In questo caso è possibile configurare un firewall in modo tale che, ad esempio, consenta di inviare solo file di testo di formato e dimensioni predefiniti su FTP una volta al giorno entro un periodo di tempo predefinito e blocchi tutto il resto, anche se è un connessione FTP valida.

I firewall non impediranno lo spionaggio, ma ci sono molte altre minacce che possono aiutare a prevenire. Ad esempio:

• Se non vuoi che una qualsiasi workstation all'interno della tua organizzazione sparga spam su Internet, ha senso bloccare la porta TCP 25 in uscita e richiedere loro di utilizzare il tuo server di posta.
• Per proteggersi dagli attacchi basati sul DNS, potresti voler bloccare la porta TCP / UDP 53 in uscita, in modo che tutti debbano usare il tuo server DNS.
• Alcuni protocolli di rete Windows sono utili all'interno di un'organizzazione, ma raramente sono utili su Internet, e più probabilità di essere usato per i danni che bene.
• SNMP trasmette molte informazioni, incluse stringhe di comunità segrete , utilizzando testo non crittografato. Ha senso bloccare l'SNMP in uscita nel caso in cui un dispositivo configurato in modo errato trapelasse da tali informazioni.

Daniel, ho sicuramente capito da dove vieni. Il filtraggio del traffico in uscita sembra un tale dolore nel didietro. E, beh, può essere un vero dolore nel didietro, a seconda di come lo fai e di cosa speri di ottenere. Inoltre, gli utenti si lamentano con chiunque possono ogni volta che le cose a cui vogliono accedere per scopi di lavoro legittimi (e talvolta per scopi meno legittimi, non lavorativi) vengono inavvertitamente o deliberatamente bloccati da uno schema di filtro e generalmente si fanno pena. E, come lei ha affermato, molti abili aggressori e il loro malware hanno trovato la via attraverso quasi tutti i migliori schemi di filtraggio pensati con una frequenza disturbante di successo. Quindi, che senso ha fare il filtraggio in uscita?

Bene, il filtro in uscita è molto utile nello stesso modo in cui è utile avere un programma anti-malware in esecuzione sui PC della tua rete o provare a filtrare spam e amp; email di phishing quando colpiscono il tuo server di posta sono utili. O facendo educazione degli utenti sui pericoli della pesca subacquea, o mettendo in atto politiche per le password, o implementando il whitelisting delle applicazioni, facendo molte altre cose che anche se "riuscite" non rileveranno o fermeranno tutti gli attacchi. Il punto non è se qualche misura particolare che puoi prendere rileverà / fermerà tutti attacchi; niente lo farà. Il punto è se rileverà o fermerà gli attacchi alcuni . O, più esattamente, se sarà probabilmente abbastanza efficace nel rilevare / fermare alcuni attacchi che merita di essere un elemento del tuo regime di sicurezza a più livelli, a difesa della profondità. E decidendo che richiede anche di considerare le risorse che l'implementazione della misura richiederebbe (incluso il tempo e l'attenzione) e altre considerazioni, come il livello di rischio per la sicurezza che l'organizzazione è o non è disposta ad accettare per i dati / sistemi che stanno costruendo difese.

Non so che posso dirti che "Vale la pena che tu faccia X nel modo di filtrare in uscita, né più né meno" senza sapere di più sulle risorse che hai l'autorità per portare a termine e quanto sia sensibile / altrimenti importante, negli occhi della tua organizzazione, ciò che stai cercando di proteggere è. Ma penso di poter sottolineare che fare il filtraggio in uscita non è affatto una cosa del tutto o niente. Ad esempio, come altri hanno affermato che mettere le semplici regole del firewall statico per bloccare il traffico in uscita dalle porte che conosci con certezza non avranno bisogno di accedere a Internet durante l'utilizzo autorizzato dei dipendenti è una misura di base ma efficace che può smettere di comunicare o ostacolare l'impatto di alcuni tipi di malware. Se vuoi essere più elaborato, fai il proxy di tutti i http e amp; il traffico https diretto a Internet e il blocco di qualsiasi connessione verso e / o da qualsiasi IP remoto su una blacklist a cui ci si iscrive richiederebbero più setup e ampli; lavori di manutenzione (e potenzialmente un esborso finanziario di qualche tipo, a seconda del servizio di blacklist con cui sei andato). Ma avrebbe (probabilmente) bloccato / ostacolato alcune attività più dannose. E, naturalmente, le misure di filtraggio diventano più elaborate e potenzialmente più dispendiose in termini di risorse.

Ma il mio punto di vista generale è: probabilmente c'è un certo grado di filtraggio che ha senso per te , in termini di efficacia nell'arrestare alcuni attacchi contro le risorse necessario per l'installazione e la manutenzione. Il fatto che tu non voglia andare ad un estremo, cercando di fare cose ad alta intensità di risorse che ancora non fermeranno molte minacce sofisticate, non significa che tu debba andare all'altro e non fare assolutamente niente. / p>

Per quanto riguarda il grado specifico delle misure di filtraggio per il tuo caso, solo tu puoi davvero rispondere. Ma suggerirei che potresti prendere un buon secondo se alcune delle basi, almeno, avrebbero qualche valore.

Non ci preoccupiamo se non per 137,138,139,445 bloccare il networking di Windows. Se dovessimo preoccuparci di un incidente per altre cose su cui fare default, discuteremo anche di bloccarle (ref: 200_success's answer su SNMP). A questo punto è troppo tardi per proteggersi dalla malvagità.

Ho visto molti tentativi di monitoraggio di HTTP / HTTPS in uscita. L'intercettazione di massa HTTPS è distruttiva, offensiva per gli utenti e di utilità limitata. La scansione dei virus HTTP è abbastanza fattibile ma oltre a ciò diventa difficile.

Non prendere il suggerimento di 200_success sul blocco della porta 53. Blocca troppi casi di debug per essere utile, e non blocca comunque ssh su DNS. Configurare invece i client correttamente e monitorare. Se vedi troppe entrate dirette da voci manuali di dig / nslookup, investiga.

Per l'unico caso che abbiamo considerato una lista di pericolo molto alto, abbiamo deciso che l'approccio migliore è passare alla lista bianca completa e bloccare tutti gli host tranne i server DHCP, DNS, SQL, file e stampa interni e ottenere la lista di cui ha bisogno per parlare fino a due.

Sembri più preoccupato per i dettagli tecnici più che per il resto. Oltre alle regole di base dei firewall d'oro, per bloccare le reti di ingresso e di uscita, le altre devono essere adeguatamente valutate.

Come @Stephane ha pubblicato, è necessario identificare cosa proteggere quando si ha a che fare con un criterio del firewall.

È della massima importanza identificare ciò che influenzerà la tua posizione, e quale livello di sicurezza sarà necessario e la capacità di applicarlo con successo.

Alcuni fattori da prendere in considerazione:

• Rete di controllo / operazione

Normalmente la maggior parte di questa rete non dovrebbe avere alcun accesso dalla rete normale e molto meno dall'esterno. Al massimo, può comunicare con un proxy per avere accesso agli aggiornamenti software e con i server DNS / NTP interni.

• Server che forniscono servizi all'esterno

Saranno i tuoi server VPN, DNS, SMTP e proxy aziendali. Avranno accesso diretto e un po 'limitato a Internet.

• I server sono la tua presenza su Internet

Server WWW o altri servizi forniti all'esterno. Dovrebbero essere aperti solo i servizi necessari.

• Livelli organizzativi

Ad esempio, in un'università, i quarti degli studenti hanno requisiti molto diversi da quelli dei professori.

• Sensibilità dei reparti / informazioni

Risorse umane, finanziari e operazioni, ad esempio, dovrebbero essere isolati dalle altre reti. Alcuni di questi dipartimenti dovrebbero anche avere una politica più restrittiva sull'uso di Internet.

• Politiche interne

Alcuni luoghi hanno solo una politica che fornisce accesso completo a Internet, mentre altri, ad esempio, definiscono che Internet avrà pieno accesso al di fuori dell'orario di lavoro, mentre altri potrebbero definire altri tipi di restrizioni.

• Settore

Ad esempio, nel settore Istruzione si prevede che abbia le minori restrizioni, mentre in un ISP ancora meno, ma con limiti di larghezza di banda, mentre nel settore bancario è molto restrittivo sia in ciò che entra che in quello che esce.

Tuttavia, anche spesso è necessario non perdersi tra la distinzione [e la separazione] tra il servizio per i clienti e la rete aziendale, dove si applicheranno culture e regole diverse.

• Diritti acquisiti percepiti / resistenza al cambiamento

Non va detto che la tradizione e i diritti acquisiti svolgeranno un ruolo molto importante in ciò che è possibile ottenere.

• Le aspettative degli utenti in merito al servizio e alle esigenze aziendali

L'equilibrio tra sicurezza, esigenze / bisogni degli utenti e qualità del servizio è sempre delicato e occorre scendere a compromessi. Ad esempio, in un ambiente molto aperto, l'aspettativa di usare p2p potrebbe non essere soddisfatta quando interferisce con i servizi voIP e HTTP / S.

• Requisiti di legge

Potrebbe essere necessario mantenere determinati tipi di log X volta. Potrebbe essere necessario tagliare diversi protocolli, vale a dire bittorrent (diversi firewall di grandi giocatori sono già dotati di DPI).

• Documentazione e monitoraggio

Inutile dire che per stabilire efficacemente una politica di firewalling di successo, è necessario sapere cosa sta accadendo all'interno della rete e SE tutto è documentato. Controlla il servizio. Un grande nome giocatore sarà più che felice di aiutare se questo mens la possibilità di segnare una vendita.

• Supporto della gestione

Infine, il processo deve essere pienamente supportato dal management superiore e la maggior parte delle decisioni su ciò che deve essere consentito o tagliato devono essere approvate da loro.

• Evoluzione / Limitazioni della tecnologia

Le restrizioni su costi, risorse e richieste / esigenze influenzeranno le decisioni su tutti i punti precedenti e la tecnologia che userete.

Soprattutto nel frenetico mondo della tecnologia, quando ci si concentra sul lato tecnico, alcune delle strategie e delle decisioni che si stanno utilizzando possono essere o saranno presto superate. Ad esempio, alcuni venditori stanno cercando di vendermi soluzioni che presto avranno funzionalità compromesse a causa della diffusa proliferazione di VPN / crittografia per uso personale.