Come dovrebbe essere creata una lista bianca di connessioni in uscita?

Naviga le tue risposte
5

Vedo la mia domanda precedente è stata chiusa come duplicato di Perché bloccare il traffico di rete in uscita con un firewall? . Le risposte a cui tutti sono d'accordo citano il valore del blocco delle connessioni in uscita (per limitare l'abilità call-home-and-get-additional-instructions di badware), ma non tanto l'efficacia dell'utilizzo di una white list della porta che include HTTP e HTTPS. Questa nuova domanda richiede ulteriore attenzione in quell'area ..

Ovviamente le connessioni in entrata devono essere bloccate. (eccetto per una lista bianca di combinazioni di indirizzi + porte, ad esempio nel caso in cui tu stia utilizzando un server web sulla tua rete)

Requisiti: Supponendo che sia obbligatorio consentire la navigazione sul Web (mantenere HTTPS e HTTP e DNS come aperti) ... L'analisi sottostante è corretta? (Ricorda, tutti i seguenti sono tranne per la white-list degli indirizzi IP , utile per bloccare DNS e SMTP, ma non accettabile per il blocco di HTTP e HTTPS)

  • Limitazione SMTP avrebbe valore reale significativo .
  • Limitazione DNS avrebbe un piccolo valore reale .
  • Avere alcuni elenco bianco di porte e bloccare tutti gli altri ha un certo valore reale in modo che i bot-writer che si limitano a "inventare" una porta non ha successo.
  • L'apertura di porte aggiuntive non rappresenta un rischio per la sicurezza a livello di uno alla volta. Se hai già aperto HTTP / HTTPS, non otterrai vantaggi misurabili limitando le cose come NTP, FTP, WHOIS.
  • Richiedere un proxy prima di utilizzare HTTP / HTTPS sarebbe l'unico modo reale (dati i requisiti precedenti) di avere un valore reale significativo , in particolare se hai configurato il proxy a livello di browser (il secondo o il terzo luogo un bot cercherebbe una configurazione proxy), invece del livello a livello di computer (il primo posto in cui un bot cercherà una configurazione proxy). (potrebbe essere necessario aggiungere una lista bianca di indirizzi per gli aggiornamenti automatici di Windows in modo che non sia richiesto un proxy per questi)

Ci sono inesattezze in questa analisi? Dovrebbe esserci di più in questa analisi?

    
posta George Bailey 20.12.2012 - 17:27
fonte

2 risposte

1

Ti consiglio di utilizzare i firewall sul sistema operativo in cui puoi impostare quale eseguibile ha accesso alle risorse di rete. In questo modo, ad esempio, è possibile consentire l'accesso solo a firefox.exe, all'aggiornamento di Windows e al processo di sincronizzazione temporale di Windows. Il resto si blocca e si registra. Il firewall avanzato fornito con Windows 7 supporta questo. Inoltre, è possibile utilizzare anche AppLocker fornito ufficialmente in cui è possibile impostare quali file eseguibili e DLL possono essere eseguiti. La politica predefinita consentirà tutto da ProgramFiles e directory di Windows, che richiedono i privilegi di amministratore per scrivere in.

I firewall di rete, come quello che stai configurando (presumo), sono strumenti rozzi. È come cercare di regolare la pressione dell'acqua nelle case usando una maledizione su un fiume. Hanno i loro usi, ma non dimenticare:

Se tutto ciò che hai è un martello, tutto sembra un chiodo.

    
risposta data 21.12.2012 - 19:56
fonte
1

Secondo me questa è un'analisi piuttosto ben arrotondata, ma ci sono alcuni punti che potrebbero migliorare.

Il firewall bidirezionale di base è un buon inizio ma, a meno che tu non abbia la possibilità di entrare nel reale traffico a livello di applicazione - sia che si tratti di un firewall a livello di applicazione proxy HTTP o di quello che hai - c'è ancora un grosso buco nella sicurezza.

Molti firewall oggi - anche quelli che pubblicizzano analisi a livello di applicazione - non fanno il filtraggio a livello di applicazione per tutti i protocolli . Scegliere un numero di porta comune per una causa malevola è un modo abbastanza semplice per aggirare un firewall più stretto. Ogni volta che puoi, è sempre meglio autorizzare le tue definizioni, anche per i protocolli semi-comuni.

Come esempio, ho già sperimentato un servizio TCP associato alla porta 123 su un host esterno con cui stavo sperimentando. Sono rimasto sorpreso dal fatto che sono riuscito ad accedervi da una rete interna protetta senza ulteriori regole firewall. Risulta la definizione NTP inclusa entrambe le porte UDP e TCP ed è stata consentita ovunque.

Informazioni sugli unici protocolli con cui non lo faccio sono HTTP, HTTPS, FTP e SMTP. Ognuno di questi ha un qualche tipo di filtro a livello di applicazione disponibile configurato per i miei clienti.

EDIT:

Tutta questa terminologia mutevole mi sta facendo sentire vecchio .. Sembra che la terminologia suggerita per il dispositivo a cui sto pensando sia un gateway UTM (Unified Threat Management).

    
risposta data 20.12.2012 - 18:50
fonte

Leggi altre domande sui tag

Spoofing dei messaggi USSD Conformità PCI-DSS per le aziende con soli terminali a scorrimento