Portas de saída para permitir através dos requisitos principais do firewall

Se você "... compartilha a conexão com a Internet com uma ou mais organizações sobre as quais temos pouco controle, além da configuração dos ASAs.", você não acha que deveria pelo menos pedir-lhes informações específicas? precisa que eles possam ter? Não sei qual é a sua configuração, mas já estive em uma situação de conexão à Internet "compartilhada" e você deve consultá-los primeiro, em vez de bloquear arbitrariamente tudo, exceto portas que sua organização precisa, ou então você poderia ter um processo em suas mãos se você bloquear um serviço solicitado por uma das outras organizações apenas porque não teve vontade de perguntar primeiro ...

EDIT devido a uma pergunta totalmente revisada

• HTTP - TCP: 80
• HTTPS- TCP: 443
• POP3 - TCP: 110 (POP seguro é tipicamente TCP: 995)
• IMAP4- TCP: 143 (o IMAP seguro é tipicamente TCP: 993)
• SMTP - TCP: 25 (o SMTP seguro é tipicamente TCP: 465)
• DNS - UDP: 53 (pesquisas externas)

Estes serviços poderiam estar em outras portas, mas estas são as portas padrão. Alguns mencionaram outras portas HTTP no intervalo de 8000, o que é possível, mas os sites públicos normalmente não fazem isso. Novamente, você deve monitorar o tráfego e ver se outras portas são necessárias antes de abri-las.

Se você tiver estabelecido que essas portas são de fato usadas por sua empresa (você tem usuários conectando-se a servidores de e-mail externos por POP3, IMAP e enviando e-mails diretamente pela porta SMTP), provavelmente você deve anotar quais IPs externos eles conectam para e limitar as ACLs apenas aos IPs no firewall. Isso limitará um pouco sua exposição se algum de seus usuários for infectado por um worm de e-mail ou outro vírus semelhante.

Para pesquisas de DNS, dependendo da sua configuração, somente os servidores DNS internos (AD DCs, se você estiver usando o AD) estariam fazendo pesquisas e seus clientes os usariam como servidores DNS. Você normalmente também sabe quais servidores DNS externos estão usando e limita suas pesquisas de saída apenas para os servidores DNS externos para encaminhamento. Se seus clientes fizerem pesquisas por conta própria, provavelmente você saberá quais servidores DNS externos eles irão usar e limitará sua conexão de saída apenas a esses servidores externos.

Em todas essas configurações de ACL, tudo o que você precisa é permitir a saída do serviço. Qualquer firewall com informações de estado (acredito que você mencionou que tinha ASA 5505s antes da edição) reconhecerá uma resposta externa e a deixará entrar como uma sessão estabelecida (e recusará conexões que não tenham sessão estabelecida).

Eu recentemente implementei isso em um ambiente que eu consultei. Eu tirei uma semana e registrei todo o tráfego de saída para que eu tivesse uma boa ideia de quais eram as portas mais usadas. Quaisquer portas de alto uso que estavam fora do comum (portas Steam para, por exemplo), trabalhei com a gerência e me certifiquei de que elas eram ou não necessárias para os negócios. Também verifiquei se não havia nenhum software proprietário que a organização executasse e estivesse se comunicando em portas não padrão.

Por fim, implementei as alterações de bloqueio e monitorei as próximas duas semanas.

Tudo dito, esse processo me levou cerca de um mês, mas como eu fiz o trabalho preparatório antes do tempo, tudo correu muito bem.

-Josh

Não é incomum encontrar servidores Web sendo executados na porta 8080 ou 8000 ou 8888, então você pode querer incluí-los.

porta 25 smtp mas se você tiver um relé, apenas permita o relé. mensageiros - msn, gtalk etc.

registro de configuração e observe o que está bloqueado, pode haver alguém usando uma porta diferente.

depende de quantos serviços você deseja permitir o tráfego. Não há prescrição para todos os fins. Talvez na sua lista você tenha esquecido as portas 21 e 20 do ftp. Para uma resposta mais detalhada, precisamos de uma lista mais detalhada de serviços com tráfego para permitir.