Bloqueo de tráfico saliente - Mejor política

Navega tus respuestas
1

Me preocupa que en mi red algunas aplicaciones / virus de fondo puedan usar mi conexión a Internet como puerta trasera maliciosa, y luego estoy en problemas (es decir, las autoridades pueden pensar que uno de mi PC ha hecho algo ilegítimo / ilegal), por lo que Tomé la decisión de CERRAR todas las conexiones salientes a la red, excepto la navegación y algunos otros servicios (skype, correo electrónico, ecc); pero ¿cómo puedo realizar esto asegurándome de que un virus / puerta trasera utilizará los puertos abiertos para obtener los servicios anteriores (es decir, 80, 483, 25, 143, 587 ecc)? ¿Debería hacerse a nivel de la aplicación (por ejemplo, si un virus simula ser "outlook.exe" y envía un correo electrónico al puerto normal que abrí?) ¿Cuál es la mejor política para este entorno? Me gustaría configurarlo en mi cortafuegos, y dejar TODO, pero la web y otros servicios fuera. Parece ser un problema más grande de lo que puedo manejar. Gracias.

    
pregunta il_maniscalco 21.11.2016 - 17:52
fuente

2 respuestas

1

Lo que quiere lograr es imposible usando un simple cortafuegos que solo bloquee los puertos, exactamente por las razones que indicó. Un programa malicioso inteligente instalado en su máquina utilizará puertos que no bloquea, por ejemplo. 80, 443 o tal vez los diversos puertos utilizados para smtp, aunque estos no son tan confiables como 80 y 443. También puede usar udp y masquerade como búsquedas de DNS.

Para captar ese tráfico, necesitaría un firewall que inspeccione el tráfico (inspección profunda de paquetes). O podrías usar un sistema de detección de intrusos; estos a menudo funcionan aprendiendo qué constituye el tráfico "normal" y luego le avisan cuando se detecta tráfico que está fuera de estos límites. Esto podría ser tan simple como avisarle cuando se abren muchas conexiones a diferentes máquinas, o cuando se detectan patrones complicados.

Si eres una persona privada que intenta asegurar una red doméstica, diría que el esfuerzo no vale la pena. Es diferente para una red de empresa.

Sin embargo, bloquear los puertos de destino que no necesita en el tráfico saliente es un buen primer paso y no tiene consecuencias negativas. También puede bloquear nombres de host específicos o direcciones IP para bloquear programas específicos para que no llamen a casa.

    
respondido por el Pascal 21.11.2016 - 18:07
fuente
0

Una alternativa a hacer esto a nivel de red es utilizar un programa de inclusión en la lista blanca de aplicaciones. Este enfoque se está reconociendo gradualmente como una de las pocas formas posibles de lidiar con la inundación de malware. En este enfoque, solo los programas buenos conocidos pueden ejecutarse; no hay adivinanzas, firmas, heurísticas o cualquier otra cosa, si no está en la lista permitida, no se ejecuta.

Sin embargo, esto definitivamente afecta la capacidad de uso; generalmente se considera adecuado para computadoras que tienen patrones de uso definidos. Es más difícil cuando se trata de computadoras de propósito general, donde se espera que instalen programas a menudo (ya que la lista blanca solo es buena si se tiene mucho cuidado con lo que sucede).

Una opción, al menos.

    
respondido por el crovers 21.11.2016 - 19:19
fuente

Lea otras preguntas en las etiquetas

Cómo obtener openssl para usar un certificado sin especificarlo a través de -CAfile "SSL: CERTIFICATE_VERIFY_FAILED" con mis propios certificados