Qual é o propósito de filtrar o tráfego de egresso (CSF)?

2

Já faz algum tempo que estou usando o CSF como firewall principal com LFD e o OSSEC como IDS principal. (Eu gosto do OSSEC em relação ao IDS do CSF).

Testei-o para pequenos ataques DoS, como variantes de slow-lor e synfloods. Funciona bem. O Apache está sendo executado com mod_security e mod_evasive. Funciona bem.

Na auditoria de backend está vendo meus arquivos de senha para alterações e eu tenho o Clam AV rodando como AV principal junto com o LMD (Linux Malware Detect) rodando à noite. O LSM é uma atividade de porta de monitoramento de todos os daemons.

os únicos serviços acessíveis pela Internet que estão sendo executados no servidor são um TOR-relay (sem saída), Apache e SSHD.

Pergunta: Por que devo filtrar o tráfego de egresso do meu servidor com o CSF?

Não consigo encontrar nenhuma vantagem além de gerenciar qual tráfego pode sair do meu servidor. Desde que eu não tenho outros usuários usando o meu servidor e hackers / crackers poderia simplesmente usar qualquer uma das portas abertas sair 22,80,443,9001,9030,9595 para sair do meu servidor; por que filtrar?

meta: Centos 64b, LMD, Auditoria, CSF, LFD, OSSEC HIDS, ClamAV, LSM

P.S: Eu esqueci de mencionar porque eu estou colocando essa questão: Clamd quer atualizar regularmente e parece que não posso definir a porta de saída.

    
por BTZ 09.06.2012 / 14:03

1 resposta

1

O motivo para filtrar o tráfego de saída (com CSF ou qualquer outra coisa) é reduzir o perfil de risco de segurança. Isso é especialmente importante em ambientes de ameaças de alta segurança, por exemplo, um servidor de hospedagem compartilhada, no qual você não tem controle total sobre o que os usuários de software instalam.

Nesse ambiente, se um usuário instalar um software vulnerável que permita que um invasor execute um código arbitrário em seu servidor, com um padrão nega a filosofia de segurança , filtrar o tráfego de saída limita o que o invasor é capaz de fazer. Por exemplo, embora você possa ter algumas portas abertas, se a saída 25 / tcp estiver bloqueada, um usuário não privilegiado em sua caixa não poderá enviar spam por e-mail sem passar pelo MTA no servidor.

No seu caso particular, você tem que decidir se a quantidade de esforço necessária para mover a configuração do seu firewall para uma filosofia de segurança de negação padrão vale o seu tempo.

    
por 28.12.2012 / 13:16