Una fuerza destructiva siempre puede filtrar información a través de paquetes HTTP. ¿Debo molestarme en configurar las reglas de salida en mi firewall?

Estás confundiendo varias cosas.

En primer lugar, casi todos los protocolos estándar (excepto para FTP, que debe evitar como una plaga) tienen solo un puñado de puertos estándar. Dado que estos puertos son estándares, no cambiarán con frecuencia y, por lo tanto, no deberán actualizarse.

Ahora, algunas aplicaciones requerirán que se abran puertos específicos. Por lo general, esto se maneja a través de un proceso de excepción: el propietario de la aplicación enviará una solicitud al equipo de firewall para que se abra un acceso. Generalmente, esta solicitud está limitada a un rango específico de sistemas internos, y va a un rango específico de sistema externo con una lista específica de puertos. Esta solicitud se puede completar como documentación y, si se otorga, la configuración del firewall se puede actualizar en consecuencia.

Pero tus preguntas muestran que te estás acercando a esto incorrectamente. Lo que estás preguntando sería como preguntar si vale la pena cerrar la puerta de tu casa, ya que sabes que algunas personas tienen acceso a las excavadoras. El proceso adecuado para diseñar una estrategia de protección es:

1. Identifique los activos que desea proteger
2. Identifique las amenazas contra las que quiere protegerlas
3. Identifique las medidas adecuadas para mitigar esas amenazas
4. Audita tu resultado
5. Vuelve al paso 1.

Parece que no haces nada de esto, excepto el paso 3.

Si su objetivo es evitar que un virus o un atacante activo filtre los datos de la empresa almacenados en una PC que pueda ejecutar código arbitrario en la misma PC cliente, está en espera.

Hay una gran cantidad de sitios para volcar datos que son los mismos sitios en los que sus usuarios TAMBIÉN necesitan acceso legítimo. Simplemente no puedes bloquear estos. A menos que esté dispuesto a bloquear esencialmente la mayor parte de Internet, olvídelo, no puede hacerlo a través del bloqueo.

Al final, el enfoque de bloquear al atacante UNA VEZ QUE TIENE LOS DATOS es infructuoso. Es como intentar detener a un ladrón desconocido que acaba de robar a Mona Lisa para que no abandone el país. Hay demasiadas maneras de salir, y de todos modos no sabes cómo se ve. Los ladrones realmente tontos nunca habrían llegado tan lejos de todos modos.

En su lugar, debería centrarse más en limitar el acceso a los datos en primer lugar, y eliminar la información ya no es relevante. ¿Cuál es su política de retención de datos? Los atacantes no pueden robar datos que han sido eliminados.

Cuánto invierte en conocimiento, productos y configuración depende de qué tan alto sea su riesgo. No existe una solución que ofrezca un 100% de seguridad, pero existe una gran diferencia entre la seguridad que puede ofrecer un simple servidor de seguridad de filtro de paquetes o lo que pueden hacer los gateways de nivel de aplicación:

• Los cortafuegos de filtro de paquetes solo pueden filtrar a nivel de paquetes (IP, puerto, protocolo). Algunos afirman que realizan cierto filtrado a nivel de la aplicación, pero esto se limita a hacer coincidir el contenido de paquetes individuales y, por lo tanto, generalmente se puede omitir fácilmente.
• Las soluciones DPI profundizan en el tráfico y pueden detectar los protocolos de las aplicaciones y hacer algunos análisis para detectar el malware en el tráfico, etc. Pero, por lo general, se limitan a un análisis pasivo (en su mayoría) y, por lo tanto, a menudo se pueden evitar mediante el uso de funciones de protocolo poco comunes o Protocolo ligeramente válido que, sin embargo, es comprendido por la aplicación cliente (es decir, el navegador o el cliente de correo).
• Las pasarelas de nivel de aplicación no solo pueden inspeccionar el tráfico en el nivel de la aplicación, sino que también pueden sanearlo y, de esta manera, imponer una interpretación coherente del tráfico en la pasarela y el cliente. Eso no significa que todos lo hagan correctamente, es decir, la mayoría de las puertas de enlace de nivel de aplicación para la web que he visto todavía pueden omitirse.

Lo que se encuentra en los diversos productos es a menudo una combinación de tecnologías, es decir, un rápido filtrado de paquetes para las cosas básicas, algunos DPI pasivos para las cosas más avanzadas y, a veces, puertas de enlace de nivel de aplicación para la web y el correo.

En cuanto a un malware que ya está dentro: si solo quiere llamar a casa (comunicación de Comando y Control), puede ser un poco efectivo bloquear algunos puertos como IRC. Pero el malware actual generalmente usa HTTP de todos modos, así que tiene más sentido emplear una lista negra de servidores conocidos de C & C. Una vez que se conocen, estas listas negras a menudo se pueden implementar en el nivel del filtro de paquetes (es decir, la dirección IP de destino), pero su filtro de paquetes debe admitir tales cosas. Pero algunos programas maliciosos utilizan sitios de twitter o blogs para C & C, lo que hace que sea muy difícil de bloquear.

Al final, puedes hacer que sea más difícil para un atacante, de modo que se mueva hacia objetivos más fáciles. Desafortunadamente, si tiene datos realmente interesantes, el pirata informático no hará esto porque estos datos podrían valer mucho dinero. Por lo tanto, debe emplear un sistema de detección de infracciones ... - solo se vuelve más complejo tanto para usted como para el atacante y aumentará el dinero / esfuerzo necesario en ambos lados. Lo que significa que, al final, primero debe saber qué necesita proteger, cuánto vale y cuánto dinero puede gastar en productos, capacitación, conocimiento, apoyo ... para combatir a cualquier atacante.

Stephane tiene razón, es bastante difícil bloquear todo lo posible. Más bien, también comenzaría con el análisis de seguridad / riesgo para identificar qué datos / sistemas deberían protegerse a qué nivel. Y luego busque los métodos para implementar el nivel de protección deseado. Si alguna protección no es posible, o es extremadamente complicada técnicamente, podría haber controles de compensación. Por ejemplo, si no es posible bloquear todos los paquetes HTTP "ilegales", podría capacitar al personal que trabaja con datos de alta seguridad para evitar la transmisión de virus a través del correo electrónico y páginas web sospechosas, etc.

Como solución técnica a su pregunta, podría ser no solo DPI, sino también firewalls de aplicaciones, o software que ofrece controles de seguridad por aplicación, para GNU / Linux podría ser:

• Firewalling de nivel de aplicación con iptables
• AppArmor
• SELinux

Además, puede consultar sistemas de prevención de pérdida de datos .

Finalmente, en nuestro grupo de investigación tenemos un concepto de tipo de filtro de DPI ( enlace ), que solo permite pre -definidos tipos de paquetes para pasar, mientras que todo lo demás está bloqueado. Sin embargo, en mi humilde opinión, esto no está pensado para el uso diario de Internet, sino en casos en que necesita enviar regularmente algunos datos al servidor a través de Internet, pero no desea abrir un acceso a este servidor. En este caso, podría configurar un firewall para que, por ejemplo, permita que solo los archivos de texto de formato y tamaño predefinidos se envíen por FTP una vez al día dentro de un período de tiempo predefinido, y bloquea todo lo demás, incluso si es un conexión FTP válida.

Los cortafuegos no evitarán el espionaje, pero hay muchas otras amenazas que pueden ayudar a prevenir. Por ejemplo:

• Si no desea que cualquier estación de trabajo de su organización emita correo no deseado en Internet, tiene sentido bloquear el puerto TCP 25 saliente y solicitarle que use su servidor de correo.
• Para protegerse contra los ataques basados en DNS, es posible que desee bloquear el puerto TCP / UDP de salida, para que todos tengan que usar su servidor DNS.
• Ciertos protocolos de red de Windows son útiles dentro de una organización, pero rara vez son útiles en Internet, y es más probable que se utilice para daño que bien.
• SNMP transmite mucha información, incluyendo cadenas de comunidad secretas , usando texto claro. Tiene sentido bloquear el SNMP saliente en caso de que un dispositivo mal configurado filtre dicha información.

Daniel, definitivamente entiendo de dónde vienes. Hacer el filtrado del tráfico saliente parece ser un dolor en la parte trasera. Y, bueno, puede ser un verdadero dolor en la parte posterior, dependiendo de cómo lo hagas y de lo que esperas lograr. Además, los usuarios se quejan a todos los que pueden cuando los elementos a los que desean acceder con fines legítimos de trabajo (y, a veces, con fines menos legítimos, no relacionados con el trabajo) se bloquean de forma involuntaria o deliberada mediante un esquema de filtrado, y generalmente se convierten en una molestia. Y, como dijo, muchos atacantes inteligentes y sus programas maliciosos han encontrado la manera de lograr los esquemas de filtrado más idóneos con una frecuencia perturbadora de éxito. Entonces, ¿cuál es el punto de hacer el filtrado de salida en absoluto?

Realmente, el filtro de salida es útil de la misma manera que es útil tener un programa antimalware que se ejecuta en las PC de su red, o tratar de filtrar spam y amp; Los correos electrónicos de phishing cuando llegan a su servidor de correo son útiles. O enseñando a los usuarios los peligros de la pesca submarina, implementando políticas de contraseñas o implementando listas blancas de aplicaciones, haciendo muchas otras cosas que incluso si el "éxito" no detecta ni detiene todos los ataques. El punto no es si alguna medida en particular que pueda tomar detectará / detendrá todos los ataques; nada hará eso El punto es si detectará o detendrá algunos ataques. O, más exactamente, si probablemente será lo suficientemente eficaz para detectar / detener algunos ataques, por lo que merece ser un elemento de su régimen de seguridad en capas y de defensa en profundidad. Y decidir eso también requiere ver los recursos que tomaría la implementación de la medida (incluido su tiempo y atención) y otras consideraciones, como el nivel de riesgo de seguridad que su organización está o no está dispuesta a aceptar para los datos / sistemas que usted acepta. Están construyendo defensas.

No sé si puedo decirle que "vale la pena para usted hacer X en el filtrado de salida, ni más ni menos" sin saber más sobre los recursos que tiene la autoridad para aplicar. y cuán sensible / importante es, a los ojos de su organización, lo que está tratando de proteger es. Pero creo que puedo señalar que hacer el filtrado de salida no es, de ninguna manera, una cosa de todo o nada. Por ejemplo, como otros han dicho, poner con certeza las reglas del cortafuegos estático para bloquear el tráfico saliente de los puertos que usted sabe con certeza, no va a necesitar acceso a Internet durante el uso de los empleados autorizados, es una medida básica pero efectiva que puede impedir la comunicación o la obstaculizar los impactos de algunos tipos de malware. Si desea obtener más detalles, haga un proxy de todo http & El tráfico https que va a Internet y el bloqueo de cualquier conexión que se realice hacia y / o desde cualquier IP remota en una lista negra a la que se suscriba requerirá más configuración y amp; trabajo de mantenimiento (y potencialmente un desembolso financiero de algún tipo, dependiendo del servicio de lista negra con el que fue). Pero (probablemente) bloquearía / dificultaría alguna actividad maliciosa más. Y, por supuesto, a partir de ahí, el filtrado mide las cosas que se vuelven más elaboradas y potencialmente más intensivas en recursos.

Pero mi punto general es: hay probablemente cierto grado de filtrado que tiene sentido para ti , en términos de efectividad para detener algunos ataques contra los recursos Necesario para su instalación y mantenimiento. El hecho de que no quiera ir a un extremo, tratar de hacer cosas que requieren un uso intensivo de recursos y que tal vez no detengan muchas amenazas sofisticadas, no significa que deba ir al otro y no hacer nada en absoluto.

En cuanto a qué grado específico de medidas de filtrado tiene sentido para su caso, solo usted puede responder eso. Pero te sugiero que tomes un buen segundo lugar si algunos de los conceptos básicos, al menos, tendrían algún valor.

No nos molestamos, excepto 137,138,139,445 para bloquear las redes de Windows. Si tuviéramos preocupación por el accidente por otras cosas que faltan, también debatiríamos sobre el bloqueo (ref: respuesta de 200_success en SNMP). Es demasiado tarde para protegerse contra la maldad en este momento.

He visto muchos intentos de monitoreo de HTTP / HTTPS de salida. La intercepción masiva de HTTPS es destructiva, insultante para sus usuarios y de utilidad limitada. El escaneo de virus HTTP es bastante factible, pero más allá de eso se vuelve más rápido.

No acepte la sugerencia de 200_success sobre el bloqueo del puerto 53. Bloquea demasiados casos de depuración para que sean útiles, y no bloquea ssh sobre DNS de todos modos. En su lugar, configure sus clientes correctamente y supervise Si ve demasiadas salidas directas para ser entradas de excavación / nslookup manuales, investigue.

Para el caso en que consideramos una lista de peligro muy alta, decidimos que el mejor enfoque es cambiar a la lista blanca completa y bloquear todos los hosts, excepto nuestros propios servidores internos de DHCP, DNS, SQL, archivos e impresión, y obtuve la lista que necesita para hablar con dos.

Pareces más preocupado por los detalles técnicos más que por el resto. Además de las reglas básicas de los firewalls dorados, para bloquear las redes de ingreso y egreso, las otras deben ser evaluadas adecuadamente.

Como se publicó en @Stephane, es necesario identificar qué proteger cuando se trata de una política de firewall.

Es de suma importancia identificar qué influirá en su postura, y qué nivel de seguridad será necesario y la capacidad de hacerla cumplir con éxito.

Algunos factores a tener en cuenta:

• Red de control / operación

Normalmente, la mayor parte de esta red no debe tener acceso desde la red normal y mucho menos desde el exterior. A lo sumo, puede comunicarse con un proxy para tener acceso a las actualizaciones de software, y con los servidores DNS / NTP internos.

• Servidores que prestan servicio al exterior

Estos serán sus servidores VPN, DNS, SMTP y servidores proxy corporativos. Tendrán acceso directo y algo restringido a Internet.

• Los servidores son tu presencia en Internet

Servidores WWW u otros servicios proporcionados al exterior. Solo los servicios necesarios deben estar abiertos.

• capas de organización

Por ejemplo, en una universidad, los alojamientos de estudiantes tienen requisitos muy diferentes de las redes de profesores.

• Sensibilidad de los departamentos / información

Los recursos humanos, finanzas y operaciones, por ejemplo, deben estar aislados de otras redes. Algunos de estos departamentos también deberían tener una política más restringida sobre el uso de Internet.

• política interna

Algunos lugares solo tienen la política de proporcionar acceso completo a Internet, mientras que otros, por ejemplo, definen que Internet tendrá acceso completo fuera del horario laboral, mientras que otros pueden definir otro tipo de restricciones.

• Industria

Por ejemplo, en la industria de la educación se espera que tenga menos restricciones, mientras que en un ISP es menos, pero con límites de ancho de banda, mientras que en banca es muy restrictivo, ya sea en lo que entra o lo que sale.

Sin embargo, incluso a menudo es necesario no perderse entre la distinción [y la separación] entre el servicio para los clientes y la red corporativa, donde se aplicarán diferentes culturas y reglas.

• Derechos adquiridos percibidos / resistencia al cambio

No va a decir que la tradición y los derechos adquiridos desempeñarán un papel muy importante en lo que puede lograr.

• Expectativas del usuario respecto del servicio frente a las necesidades empresariales

El equilibrio entre la seguridad, las necesidades / deseos de los usuarios y la calidad del servicio es siempre delicado y es necesario hacer concesiones. Por ejemplo, en un entorno muy abierto, la expectativa de usar p2p puede no cumplirse cuando interfiere con los servicios de VoIP y HTTP / S.

• requisitos legales

Es posible que tenga que mantener ciertos tipos de registros X tiempo. Es posible que necesite cortar varios protocolos, a saber, bittorrent (varios firewalls de grandes jugadores ya vienen con DPI).

• Documentación y seguimiento

No hace falta decir que para establecer efectivamente una política de cortafuegos exitosa, existe la necesidad de saber qué sucede dentro de la red y SI todo está documentado. Auditar el servicio. Un jugador de renombre estará más que feliz de ayudar si eso le da la posibilidad de obtener una venta.

• Apoyo de gestión

Finalmente, el proceso debe ser completamente respaldado por la alta gerencia y la mayoría de las decisiones de lo que se debe permitir o recortar deben ser aprobadas por ellos.

• Evolución / Restricciones de tecnología

Las restricciones en los costos, recursos y solicitudes / necesidades influirán en las decisiones sobre todos los puntos anteriores y la tecnología que usará.

Principalmente en el acelerado mundo del campo de la tecnología, cuando se enfoca en el aspecto técnico, algunas de las estrategias y decisiones que puede estar usando pueden estar o estarán desactualizadas en breve. Como ejemplo, algunos proveedores están tratando de venderme soluciones que pronto tendrán una funcionalidad dañada debido a la proliferación generalizada de VPN / encriptación para uso personal.