Filtrado de egreso del cortafuegos / lista rápida de listas blancas

3

Supongamos que su tía o su tío son fácilmente engañados por los intentos de phishing y que su computadora tiene múltiples kits de raíz y registradores clave en ejecución. Supongamos que sus hábitos de computación nunca cambiarán.

Al mirar su enrutador inalámbrico, se puede ver que solo visita unas pocas docenas o unos cientos de sitios web varias veces al mes. En lugar de tratar de mantener alejados a los malos, configure la regla de salida predeterminada del cortafuegos para que bloquee (rechace / rechace) todo para evitar que salgan los malos.

Si este pariente no técnico tenía un programa Python simple ejecutándose con una conexión ssh en el firewall, el programa podría monitorear las direcciones IP a medida que se bloquean. El programa le preguntaría al usuario si desea acceder a 72.21.211.176 Amazon.com (EE. UU.). Si el usuario dice que sí, el programa podría preguntar: ¿Permitir el acceso de salida a todas las redes 72.21. . ? Esto es un intento de ahorrar algo de tiempo creando una lista blanca.

Sé que las opiniones varían en cuanto al valor del filtrado de egreso. Pero con todos los avances tecnológicos en los últimos 20 años, me parece frustrante que no haya una forma sencilla para que los usuarios no técnicos eviten el envío de datos a esa aldea en Gales (Llanfairpwllgwyngyll) que todos sabemos que está llena de piratas informáticos del estado nación. .
enlace

Ya que soy más un desarrollador de SQL que un experto en seguridad, estoy publicando esto para ver si esto realmente ayudaría a proteger la red doméstica en el ejemplo anterior. Por supuesto, la solución no es perfecta, pero parece que ayudaría. Este pensamiento surgió después de leer sobre el malware DGA que se sabe que creó miles de nuevos dominios por segundo y se dio cuenta de que los atacantes son mucho más sofisticados de lo que imaginaba. enlace

ACTUALIZACIÓN Como lo indican ambas respuestas, esta no es una buena manera de abordar el problema. No se puede confiar en que haya demasiados IP en el mundo y el usuario solo permita dominios seguros.

    
pregunta user584583 07.01.2015 - 20:00
fuente

2 respuestas

3

El problema con una solución de filtrado de salida de la naturaleza sugerida es que las aplicaciones web y el software modernos se ponen en contacto con una desconcertante variedad de servidores en Internet y sería muy difícil para un usuario no técnico (o incluso para cualquiera) informarlo. decisiones sobre esto (para obtener una buena ilustración del problema, intente ejecutar glasswire o Little snitch que te muestran cuándo un programa realiza conexiones de salida).

Además, debido a la proliferación de servicios en la nube, no es posible, por dirección IP, diferenciar entre un servicio legítimo utilizando, por ejemplo, Amazon AWS y una instancia de AWS comprometida que está siendo utilizada por un programa malicioso, que literalmente podrían estar uno al lado del otro en el mismo centro de datos.

Mi recomendación personal sería que usen una plataforma que sea menos específica y / o menos propensa al malware. Un entorno donde su cuenta de usuario tiene menos privilegios para instalar malware es probable que sea un problema menor. Quizás considere algo que automáticamente reinicia la máquina a una configuración predeterminada. de forma regular como una opción.

    
respondido por el Rоry McCune 07.01.2015 - 20:18
fuente
3

La administración de DNS es la forma moderna de hacer esto para los no técnicos. Los servicios de DNS administrados hacen un seguimiento de las entradas válidas y no válidas en un esfuerzo por proteger a los no técnicos de esta manera. Sí, se pierde el control granular de la inclusión en la lista blanca solo de los sitios a los que va un usuario en particular, pero la sobrecarga de administración en caso de que el usuario quiera cambiar su comportamiento es alta.

Además, se puede instalar un proxy web que proporciona control granular sobre los sitios y las IP que el usuario visita. Los proxies varían en su facilidad de uso y administración.

    
respondido por el schroeder 07.01.2015 - 20:18
fuente

Lea otras preguntas en las etiquetas