Política padrão para OUTPUT

Navegue suas respostas
5

Há algum risco de segurança de ter a política de SAÍDA definida como ACEITAR?

A máquina em questão é o VPS que hospeda poucos sites, repositórios git, servidor jabber e correio.

    
por graywolf 05.03.2015 / 14:59

2 respostas

8

O "risco" é que qualquer processo na máquina é permitido iniciar uma conexão de rede e enviar pacotes de rede.

Isso significa que não há nada no servidor para bloquear qualquer usuário, legítimo ou não, nem qualquer processo de tentar conectar qualquer outro dispositivo de rede em sua própria rede ou, possivelmente, na Internet inteira.

Geralmente, isso não é um grande problema. Considera-se responsabilidade dos sistemas remotos restringir o tráfego de entrada e você pode ter políticas de firewall já em pontos críticos da sua rede.

Definir a política padrão para qualquer outra coisa, por exemplo, REJECT, significa que você precisará autorizar explicitamente todos os fluxos de tráfego legítimos, o que requer um entendimento completo de seu sistema e de todos os aplicativos e dependências que são executados em seu servidor. Muitas vezes isso significa uma carga administrativa considerável.

O benefício é claro que o impacto potencial do aplicativo mal configurado é mitigado, pode tornar mais difícil abusar de um sistema, embora em um sistema completamente comprometido o invasor sempre possa simplesmente desligar um firewall de software ...

Do ponto de vista da segurança, é claro que é bastante simples, qualquer coisa que não seja explicitamente permitida é negada. Isso faz muito sentido em um ambiente com strongs requisitos de segurança e, por exemplo, em um firewall dedicado, em um servidor multifuncional, isso pode ser proibitivamente difícil.

    
por 05.03.2015 / 16:19
0

A definição de uma política de saída não interrompe as tentativas de invasão, mas pode ajudar um pouco contra usuários mal-intencionados ou simplesmente ignorantes que podem fazer login na máquina. E isso pode ajudar a migrar os efeitos de um ataque, especialmente um botted.

Por exemplo, você pode estar em uma situação na qual você tem que permitir que alguns usuários na máquina em quem você não confia - você não acha que eles são malévolos, mas sim incompetentes. (Como um cliente que eu tinha, que queria um diretório separado para o seu filho de 16 anos para hospedar seu próprio site, e que exigia que seu filho tivesse acesso ssh. Ou seu chefe, que insiste em dar acesso ao novo ssh interno. Ou ...) Eles não têm acesso root (e eles não são espertos o suficiente para usar alguns exploits de usuário local e root), então eles não podem realmente danificar muito, mas bloquear todo o tráfego de saída pelo menos impede que eles instalem o TeamViewer. ou um software similar que abre conexões de dentro para permitir que outros IPs se conectem.

Além disso, caso seu servidor torne-se parte de uma botnet de alguma forma, a eliminação de pacotes de saída impede que o bot envie spam e ataques DDOS do seu servidor. É claro que o dano já está feito quando o bot é instalado, mas pelo menos você não pagará pela largura de banda. Se você tiver para enviar e-mails do seu servidor, use um servidor de mensagens dedicado e permita a porta 25 para esse host somente ; bots normalmente não serão inteligentes o bastante para rotear seu spam através deste mailhost também.

Eu registraria a saída assim como a rejeitaria e verificaria os logs uma vez por semana (ou uma vez por dia, ou teria um programa de monitoramento verificando o aumento de tamanho do arquivo de log, ou ... dependendo de suas necessidades ). Isso ajuda você a) descobrir o que você deve desbloquear, no caso de um aplicativo ter solicitações válidas que são bloqueadas, eb) descobrir que você foi hackeado, se você ver muitas conexões abandonadas no seu log de saída.

    
por 05.03.2015 / 17:23

Tags

Obtendo 'ERR_CONNECTION_REFUSED' ao tentar navegar pela porta mapeada para o contêiner do Docker Limit / Throttle por largura de banda do OpenVPN do usuário usando o TC