Quais são os riscos se todas as conexões / portas de saída estiverem abertas?

Navegue suas respostas
4

Para resolver a conexão de autorização do Facebook em nosso servidor, decidimos abrir todas as conexões / portas de saída no firewall para ver se realmente é um problema de segurança.

depois de permitir, a conexão do facebook funcionou.

No entanto, não tenho idéia se os riscos são os que serão implementados totalmente.

obrigado!

    
por Sherwin Valdez 06.08.2010 / 06:45

4 respostas

9

Eu acho que a "sabedoria comum" por trás de bloquear o tráfego de saída da rede sempre foi algo como "Pessoas ruins podem enviar tráfego para fora da sua rede de maneiras que você não quer que eles façam". Certamente, eu vi explorações remotas frustradas por firewalls agressivos impedindo o código de exploração de fazer FTP para baixar sua carga útil, etc. Há algum valor em limitar as portas de saída.

Tendo dito isso, porém, qualquer coisa pode ser encapsulada em outro protocolo (TCP arbitrário sobre HTTP, SSH sobre DNS, IP sobre pombo-correio, etc), então limitar as portas de saída para limitar o tráfego de saída tem um ar de falso sentido. segurança sobre isso. A menos que você esteja fazendo a inspeção da camada 7 do tráfego de saída, você não pode realmente ter certeza de que a coisa que faz solicitações de saída na porta TCP 80 é realmente um cliente HTTP. Mesmo que seja um cliente HTTP, a menos que você esteja sendo muito draconiano sobre o exame da camada 7, pode ser um cliente HTTP que esteja tunelando dados arbitrários sobre HTTP.

Limitar as portas de saída é uma boa ideia, mas não se iluda pensando que é uma grande vitória de segurança. O software "inteligente" (malicioius ou de outra forma - o Skype é um bom exemplo de um programa que lida bem com as portas de saída filtradas) funcionará em torno de você.

Como um aparte, não sei se o Facebook precisa de algo diferente de HTTP e HTTPS.

    
por 06.08.2010 / 07:04
6

Se você tiver alguma máquina Windows na LAN, é altamente recomendável fechar pelo menos a porta 25 para todos, exceto para o (s) servidor (es) de e-mail. Alguns vírus / worms farão com que a máquina infectada envie emails de spam. Isso pode rapidamente levá-lo a listas de bloqueio, o que pode ter um efeito seriamente prejudicial em sua capacidade de enviar e-mails legítimos. Isso aconteceu onde eu trabalho logo depois de começar, e precisei de um pouco de esforço para ser removido dessas listas. Não há uma maneira real de dizer quanta receita a empresa perdeu como resultado, mas sabemos que perdemos pelo menos alguns clientes.

    
por 06.08.2010 / 12:18
0

Normalmente, é muito mais importante bloquear as conexões recebidas do que as saídas ; bloquear conexões de saída só faz sentido se você tem medo de algo que não confia em rodar em seu servidor, e isso geralmente não é o ponto com sistemas Linux (e muito mais com o sistema Windows, que pode ser infectado por worms) e geralmente com sistemas de servidor que somente os administradores têm acesso ao console, reduzindo assim o risco de baixar acidentalmente algo ruim da Internet.

Dito isto, você não precisa abrir nada além do HTTP de saída (80) e HTTPS (443) para acessar o Facebook, que é um site e não usa nenhum outro protocolo.

    
por 06.08.2010 / 07:03
0

Além de spam através de SMTP, uma coisa que eu vi acontecer é uma máquina infectada em uma rede interna chama de casa para um servidor IRC remoto. Isso é usado classicamente em bot-nets e pode se beneficiar da limitação de conexões de saída.

No entanto, como outros disseram, à medida que os ataques se tornam mais sofisticados, seria possível contornar todas essas coisas.

    
por 06.08.2010 / 11:55

Tags

Qual é o melhor software gratuito para máquinas virtuais no Linux? Acidentalmente correu chmod 775 -R / (não ./) no servidor linux (RedHat)