¿Cómo se debe crear una lista blanca de conexiones salientes?

5

Veo mi pregunta anterior fue cerrada como duplicado de ¿Por qué bloquear el tráfico de red saliente con un firewall? . Las respuestas con las que todos están de acuerdo mencionan el valor de bloquear las conexiones salientes (para limitar la capacidad de call-and-get-adicional-instructivas de los programas maliciosos), pero no tanto la efectividad de usar una lista blanca de puertos que incluye HTTP y HTTPS. Esta nueva pregunta requiere atención adicional en esa área ...

Obviamente las conexiones entrantes deben estar bloqueadas. (excepto en una lista blanca de combinaciones de dirección + puerto, por ejemplo, en caso de que esté ejecutando un servidor web en su red)

Requisitos: Suponiendo que es obligatorio permitir la navegación web (mantener HTTPS y HTTP y DNS como abiertos) ... ¿Es correcto este análisis a continuación? (Recuerde, todos estos a continuación son a excepción de la lista blanca de direcciones IP , que es útil para bloquear DNS y SMTP, pero no es aceptable para bloquear HTTP y HTTPS)

  • Restringir SMTP tendría valor real significativo .
  • La restricción de DNS tendría un poco valor real .
  • Tener algunos lista blanca de puertos y bloquear todos los demás tiene cierto valor , por lo que los escritores de bots que simplemente "inventan" un puerto no tienen éxito.
  • Abrir puertos adicionales no es un riesgo de seguridad en un nivel de tiempo. Si ya ha abierto HTTP / HTTPS, entonces no obtendrá una ventaja medible al limitar cosas como NTP, FTP, WHOIS.
  • Requerir un Proxy antes de usar HTTP / HTTPS sería la única manera real (dados los requisitos anteriores) de tener valor real significativo , especialmente si configuró el Proxy en el nivel del navegador (el segundo o tercer lugar en que un bot buscaría una configuración de proxy), en lugar del nivel de toda la computadora (el primer lugar en que un bot buscará una configuración de proxy). (Es posible que deba agregar una lista blanca de direcciones para las actualizaciones automáticas de Windows para que no se requiera un proxy para esas)

¿Existen inexactitudes en este análisis? ¿Debería haber más en este análisis?

    
pregunta George Bailey 20.12.2012 - 17:27
fuente

2 respuestas

1

Le recomiendo que use firewalls en el sistema operativo donde puede configurar qué ejecutable tiene acceso a los recursos de la red. Allí, por ejemplo, puede permitir que solo Firefox.exe, la actualización de Windows y el proceso de sincronización de la hora de Windows tengan acceso. El resto se bloquea y se registra. El firewall avanzado suministrado con Windows 7 lo admite. Además, también puede utilizar AppLocker suministrado oficialmente, donde puede configurar qué archivos ejecutables y DLL se pueden ejecutar. La política predeterminada permitirá todo desde los directorios de ProgramFiles y Windows, que requieren privilegios de administrador para escribir.

Los cortafuegos de red, como el que está configurando (supongo), son herramientas básicas. Es como tratar de regular la presión del agua en las casas usando una maldición en un río. Tienen sus usos, pero no olviden:

Si todo lo que tienes es un martillo, todo parece un clavo.

    
respondido por el Matrix 21.12.2012 - 19:56
fuente
1

En mi opinión, este es un análisis bastante completo, pero hay un par de puntos que podrían mejorar.

El firewall bidireccional básico es un buen comienzo, pero a menos que tenga la capacidad de ingresar al tráfico de nivel de aplicación real, ya sea con un firewall de nivel de aplicación proxy HTTP o lo que tenga, todavía hay un agujero importante en su seguridad.

Hoy en día, muchos firewalls, incluso aquellos que publicitan análisis de nivel de aplicación, no realizan filtrado de nivel de aplicación para todos los protocolos . Elegir un número de puerto común para una causa maliciosa es una forma bastante fácil de sortear un cortafuegos restringido. Siempre que pueda, siempre es mejor incluir en la lista blanca sus definiciones, incluso para los protocolos semi comunes.

Como ejemplo, he experimentado anteriormente con un servicio TCP vinculado al puerto 123 en un host externo con el que estaba experimentando. Me sorprendió poder acceder a ella desde una red interna protegida sin reglas de firewall adicionales. Resulta que la definición de NTP incluía los puertos UDP y TCP y se le permitió salir a cualquier lugar.

Los únicos protocolos con los que no hago eso son HTTP, HTTPS, FTP y SMTP. Cada uno de ellos tiene algún tipo de filtro de nivel de aplicación disponible configurado para mis clientes.

EDITAR:

Toda esta terminología cambiante me hace sentir viejo ... Parece que la terminología sugerida para el dispositivo en el que estoy pensando es en una puerta de enlace UTM (Unified Threat Management).

    
respondido por el Tim Brigham 20.12.2012 - 18:50
fuente

Lea otras preguntas en las etiquetas