Que segurança tangível é obtida bloqueando todas, exceto algumas portas de saída em um firewall

3

Nosso firewall de hardware atual permite bloquear as portas de entrada e saída. Nós temos duas possibilidades:

  1. Bloquear determinadas portas problemáticas (smtp, bittorrent, etc.)
  2. Bloqueia apenas algumas portas aprovadas (http, https, ssh, imap-ssl, etc.)

Eu vejo várias desvantagens com a opção 2. Ocasionalmente, os servidores da web são hospedados em portas não padrão e teríamos que lidar com os problemas resultantes. Além disso, nada impede que um serviço malicioso ou indesejado seja hospedado na porta 80, por exemplo. Quais são as vantagens?

    
por Frankie 10.05.2010 / 21:02

5 respostas

9

No cenário (2), se uma máquina dentro das redes for infectada por algum malware, você a impedirá de enviar e-mails (se bloquear ou enviar proxy SMTP de forma transparente) ou de se conectar ao canal de IRC que foi desenvolvido para ser remoto. controlado de (ou backdoors similares).

Editar Obviamente, em qualquer um desses cenários não vai parar tudo , mas vai impedir que muitos dos bots comuns transformem sua rede em uma fonte de spam e-mail e afins.

    
por 10.05.2010 / 21:20
1

A vantagem é que você pára tudo o que não consegue se adaptar (spam e-mail malware, etc.) e todos que não sabem como contornar isso.

As outras respostas aqui parecem ser da natureza "seja lá o que você fizer, eu nem vou me incomodar em tentar", mas a maioria das pessoas não sabe como fazer as coisas para contornar restrições de firewall, então você reduzir o risco de problemas muito.

Além disso, se alguém puder acessar um serviço fora de seu firewall, tente primeiro porque a porta está aberta, isso é uma coisa, mas se eles tiverem que trabalhar deliberadamente em torno do seu firewall, isso é bem diferente. Pode dar mais evidências para demonstrar o uso indevido de sistemas de computador, por exemplo.

E, por motivos de conformidade ou auditoria, talvez seja necessário justificar todas as portas abertas no seu firewall, seria melhor dizer "Saída da porta 1433, porque as contas precisam do programa Q, embora possa abrir a porta para algum uso indevido "do que" o SQL funciona porque não nos incomodamos em bloquear nada ".

tl: dr: A segurança não é sobre uma solução bullet de prata que conserta nada, e a opção 2 pode ser outra camada para ajudar a reduzir o risco e o uso indevido.

    
por 15.03.2011 / 22:18
0

Se alguém for executar o bittorrent na porta 80, realmente não faz diferença qual opção você escolher, mas a opção 2 oferece uma chance melhor de bloquear o tráfego indesejado. Você menciona a possibilidade de ter que abrir portas extras para sites especiais, mas, dependendo do seu firewall, você pode abrir essas portas apenas para destinos específicos.

Com a opção 1, quando você começa a bloquear as portas para restringir o tráfego, esse tráfego quase certamente se deslocará para outra porta. No final, você descobrirá que precisa fechar tantas portas que está praticamente de volta ao ponto em que estaria se tivesse escolhido a opção 2 no início.

O Bittorrent não roda em nenhuma porta em particular, então esqueça qualquer sonho que você tenha de bloqueá-lo dessa maneira. Até mesmo bloquear o acesso a todos os sites de rastreadores conhecidos é bastante ineficaz com os atuais sistemas sem rastreador.

Existem administradores que acreditam ter bloqueado com sucesso o tráfego bittorrent de suas redes. Baseado em meus próprios experimentos como um usuário bittorrent, eu não acho que poderia ser tão confiante. É claro que eu não tenho acesso a todas as diferentes marcas e modelos de firewalls para testar, então pode simplesmente desconhecer um sistema eficaz.

    
por 10.05.2010 / 23:57
0

Uma resposta simples é com o número 2, você não precisa ser um especialista no uso de todas as portas , apenas aquelas realmente permitidas por você. Quando um novo serviço IM / P2P sai que usa uma porta padrão diferente você não precisa fazer nada para bloqueá-lo . Opção # 2 também permite que você saiba exatamente quais protocolos estão em uso na sua rede e quem pediu que eles fossem disponibilizados.

    
por 11.05.2010 / 03:28
0

Prefiro a opção nº 3 - bloquear o acesso a todas as portas e fazer proxy dos serviços de que você precisa. Na grande maioria dos casos, isso funciona bem. Na verdade, na maioria das vezes, tudo o que você precisa é de um proxy da Web - já que o correio é frequentemente gerenciado por um servidor interno (ou usa o RPC-over-http do Outlook).

A maioria dos proxys web também permite que você especifique em quais portas você pode fazer conexões HTTP - assim você não precisa abrir brechas de firewall para sites não padrão. Além disso, um proxy da Web pode (dependendo da configuração) fornecer a você alguma proteção contra usuários que abusam desse serviço por meio de tunelamento de VPN, etc.

Como Mo diz, também é altamente benéfico do ponto de vista da limitação da disseminação de malware e, na verdade, das áreas cinzentas em que os usuários tentam usar seu próprio software ou contas de e-mail. Mesmo se você quiser permitir isso, você gostaria de saber primeiro, espero!

    
por 11.05.2010 / 09:22