Proxy trasparente con whitelist ristretta, consentendo che le richieste GET impediscano ancora l'uscita dei dati?

0

Abbiamo una rete che attualmente ha zero accesso a Internet. Voglio fornire agli utenti della rete un mezzo per accedere a determinati siti produttivi come riferimento, come Stack Exchange Network, W3Schools, Perl Monk, ecc. Inoltre, voglio che siano in grado di scaricare gli ultimi aggiornamenti per le loro applicazioni, tra cui Firefox, Chrome OS, IntelliJ, forse anche gli aggiornamenti di Windows.

Solo su una base di whitelist. In questo modo se uno di loro finisce con un virus, non avrebbe un modo per chiamare casa, perché "casa" non è nella lista bianca. (Non mi aspetto che chiunque abbia accesso ai server Perl Monk raccolga file sensibili inviati da un virus. Dovrebbe essere un altro indirizzo IP arbitrario.)

Tuttavia, mi sono reso conto che i dati potrebbero essere pubblicati sotto forma di una domanda di posta elettronica o del forum, senza la cooperazione intenzionale della rete autorizzata.

Un'opzione è di regolare il proxy per consentire solo le richieste GET. Ad esempio, Stack Exchange può essere facilmente esplorato con le sole richieste GET, ma il contenuto non può essere inviato senza l'uso di una richiesta POST. In questo modo gli sviluppatori potrebbero ancora ottenere risposte alle loro domande senza dare ai virus un modo per chiamare casa.

  1. Una whitelist di host è ragionevole?
    (Sto pensando di sì, dal momento che rende "chiamata a casa" più difficile per un virus.)

  2. È permesso solo GET, senza POST considerato impraticabile, oppure è una tecnica utilizzata nel settore. Sono pazzo o è una buona idea impostare il proxy trasparente?

I siti dovrebbero limitare le funzionalità di invio dei dati alle richieste POST, per proteggersi da CSRF. Quindi, partendo dal presupposto che la partecipazione sarà buona nei siti autorizzati, sembra che consentire le richieste GET sia una buona idea. Cosa è raccomandato?

    
posta George Bailey 09.07.2016 - 00:16
fonte

2 risposte

2

Non penso che il tuo virus medio sia progettato per aggirare i blocchi di whitelist, e farlo tramite una domanda del forum sembra preoccupare troppo la larghezza di banda troppo bassa (o interessante per lo scrittore di virus medio).

Dico "media", perché questo tipo di comportamento è più prevedibile di un virus personalizzato progettato per estrarre informazioni molto selezionate dalla rete.

Ma, a quel punto (cioè un virus progettato solo per i tuoi sistemi), mi chiedo se non sarebbe possibile impostare una sorta di canale segreto - non lo abbiamo testato, ma forse la lettura di una domanda tramite GET incrementa la sua visualizzazione contrastare? In quel caso il virus e il suo server CCC potrebbero concordare in anticipo su un numero di domande molto vecchie, che difficilmente avranno viste e la combinazione in cui visualizzarle per codificare una data sequenza di bit.

Penso che per lo scenario "medio" stai facendo troppo (ma, ehi, meglio che curare, cintura e bretelle e tutto il resto). Per lo scenario "ti stanno cercando", le workstation isolate e in compartimentalizzazione delle query Stack Overflow e le informazioni sensibili sembrano preferibili. (P. Es., Spendibili, forse solo attraverso l'imaging e la riformattazione).

    
risposta data 09.07.2016 - 00:58
fonte
1

Is a whitelist of hosts reasonable? (I'm thinking yes, since it makes 'call home' more difficult for a virus.)

Gli host di whitelisting sono decisamente ragionevoli quando si tratta di bloccare le comunicazioni di rete dannose. Tuttavia, le visite al sito per tutti gli endpoint autorizzati richiedono la comunicazione con altre entità di terze parti. L'ecosistema combinato è ciò che rende piacevole l'esperienza complessiva. In questo modo puoi fare delle whitelist, ma diventerà più difficile da mantenere man mano che l'elenco si espande.

Is permitting GET only, without POST considered impractical, or is this a technique used in the industry. Am I crazy or is this a good idea to set on the Transparent Proxy?

Non è pratico. Con ogni endpoint che aggiungi, dovrai comprendere i protocolli e gli scoppi d'ira che ci si aspetta da esso. Sono sicuro che un ampio gruppo di siti autorizzati non supporta l'approccio GET solo.

    
risposta data 09.07.2016 - 00:59
fonte

Leggi altre domande sui tag