A política TCP-UDP-Proxy no Watchguard me abre para problemas de segurança?

1

Não me lembro de ter visto essa política, pois me parece um tipo de coisa "todas as portas abertas". É definido como padrão "tcp: 0 (any) - udp: 0 (any)" Se eu desabilitar isso, até mesmo o tráfego da Web não funcionaria, embora eu tenha especificamente a diretiva de proxy HTTP ativada ... Isso é normal? Anormal? Qual é a melhor prática? Estou lidando com a tentativa de encontrar o vírus crpytolocker que me levou a isso ...

    
por Seth 08.06.2014 / 04:07

1 resposta

0

Esta regra permite qualquer tráfego de saída e conversas iniciadas por uma máquina interna. É bastante comum configurar essa regra. Eu acho que a maioria dos modelos de guarda tem essa regra por padrão.

Com apenas a regra ativada, os computadores no lado Confiável podem abrir qualquer conexão que desejarem. Computadores no lado externo podem responder, mas não podem iniciar uma conexão.

Meu palpite é que, embora você tenha uma política de proxy HTTP (que deve ser de 'Qualquer Trusted' para 'Any-External'), você não tem regras para o tráfego DNS - sem resolução de DNS, sem tráfego da web .

A melhor prática é bloquear tudo e permitir o tráfego desejado. No mínimo, para uma rede típica de escritório, isso seria tráfego HTTP e HTTPS (opcionalmente através de um proxy), DNS (pelo menos para o servidor DNS interno para se conectar ao mundo externo) e tráfego de e-mail (SMTP, POP3, IMAP, etc ... depende do que você usa, e só pode permitir que o seu servidor de e-mail interno se conecte diretamente ao mundo externo).

No entanto, manter isso pode ser frustrante. As pessoas querem usar o Adobe para videoconferência, e um contratado precisa acessar seu site em uma porta não padrão, etc. Então, algumas pessoas optam por permitir todas as conexões de saída e se preocupam em filtrar o que está chegando. aceitável, dependendo de quão seguro você precisa ser, o quanto você confia no lado Confiável da rede e quanto tempo e esforço você pode dedicar à manutenção das regras de firewall.

    
por 08.06.2014 / 17:07