Blocco di traffico in uscita - Migliore politica

Naviga le tue risposte
1

Sono preoccupato che nella mia rete alcune applicazioni / virus in background possano usare la mia connessione Internet come backdoor dannoso, e quindi sono nei guai (ad esempio le autorità possono pensare che uno dei miei pc abbia fatto qualcosa di illegittimo / illegale) Ho preso la decisione di CHIUDERE tutta la connessione in uscita alla rete, tranne la navigazione e alcuni altri servizi (skype, email, ecc); ma come posso eseguire questo essere sicuro che un virus / backdoor utilizzerà le porte aperte per ottenere i servizi di cui sopra (cioè 80, 483, 25, 143, 587 ecc.)? Questo dovrebbe essere fatto a livello di applicazione (ad esempio se un virus simula di essere "outlook.exe" e invia una e-mail alla porta normale che ho aperto?) Qual è la migliore politica per questo ambiente? Vorrei installarlo nel mio firewall e lasciare TUTTO ma il web e altri servizi. Sembra essere un problema più grande di quello che riesco a gestire. Grazie.

    
posta il_maniscalco 21.11.2016 - 17:52
fonte

2 risposte

1

Quello che vuoi ottenere è impossibile usando un semplice firewall che blocca semplicemente le porte, esattamente per le ragioni che hai affermato. Un programma dannoso intelligente installato sulla tua macchina utilizzerà le porte che non blocchi, ad es. 80, 443 o forse le varie porte utilizzate per smtp, anche se non sono affidabili come 80 e 443. Potrebbe anche usare udp e masquerade come ricerche DNS.

Per catturare tale traffico, è necessario un firewall che ispeziona il traffico (ispezione approfondita dei pacchetti). Oppure potresti usare un sistema di rilevamento delle intrusioni; questi spesso funzionano imparando ciò che costituisce il traffico "normale" e quindi avvisando l'utente quando viene rilevato il traffico che esce da questi limiti. Questo potrebbe essere semplice come avvisare l'utente quando vengono aperte molte connessioni a macchine diverse o rilevare modelli complicati di moee.

Se sei una persona privata che cerca di proteggere una rete domestica, direi che lo sforzo non vale i guadagni. È diverso per una rete aziendale.

Il blocco delle porte di destinazione che non è necessario sul traffico in uscita è comunque un buon primo passo e non ha conseguenze negative. È inoltre possibile bloccare nomi host o indirizzi IP specifici per bloccare programmi specifici dalla telefonata a casa.

    
risposta data 21.11.2016 - 18:07
fonte
0

Un'alternativa a fare questo a livello di rete è utilizzare un programma di whitelisting dell'applicazione. Questo approccio viene gradualmente riconosciuto come uno dei pochi modi fattibili per gestire il flusso di malware esistente. Con questo approccio, è possibile eseguire solo i programmi validi noti - non ci sono congetture, firme, euristiche o qualsiasi altra cosa, se non è nella lista consentita, non funziona.

Ha sicuramente un impatto sull'usabilità, tuttavia è generalmente considerato adatto ai computer che hanno definito modelli di utilizzo. È più difficile quando si tratta di computer di uso generale, dove ci si aspetta di installare programmi spesso (dato che la lista bianca è valida solo se si sta molto, molto attenti a ciò che accade).

Un'opzione, almeno.

    
risposta data 21.11.2016 - 19:19
fonte

Leggi altre domande sui tag

Che cosa significa "Server Temp Key" in un output di openssl? È sicuro navigare su una macchina virtuale usando un utente non root MA il VM sta usando la scheda di rete / adattatore del dispositivo host?