Proxy transparente con una lista blanca apretada, permitiendo que las solicitudes GET sigan evitando la salida de datos?

Navega tus respuestas
0

Tenemos una red que actualmente no tiene acceso a Internet. Quiero proporcionar un medio para que los usuarios de la red accedan a ciertos sitios productivos como referencia, como Stack Network Network, W3Schools, Perl Monk, etc. También quiero que puedan descargar las últimas actualizaciones para sus aplicaciones. incluyendo Firefox, Chrome OS, IntelliJ, tal vez incluso actualizaciones de Windows.

Esto es solo en una lista blanca. De esta manera, si uno de ellos termina con un virus, no tendría una manera de llamar a casa, porque "hogar" no está en la lista blanca. (No espero que nadie con acceso a los servidores de Perl Monk esté recopilando archivos confidenciales enviados por un virus. Tendría que ser alguna otra dirección IP arbitraria).

Sin embargo, luego me di cuenta de que los datos podrían publicarse en forma de correo electrónico o pregunta del foro, sin la cooperación intencional de la red en la lista blanca.

Una opción es ajustar el proxy para que solo permita las solicitudes GET. Por ejemplo, Stack Exchange se puede navegar fácilmente con solo las solicitudes GET, pero el contenido no se puede enviar sin el uso de una solicitud POST. De esta manera, los desarrolladores podrían obtener respuestas a sus preguntas sin dar a los virus una forma de llamar a casa.

  1. ¿Es razonable una lista blanca de hosts?
    (Estoy pensando que sí, ya que hace que 'llamar a casa' sea más difícil para un virus).

  2. Está permitiendo GET solo, sin que POST se considere poco práctico, o es una técnica utilizada en la industria. ¿Estoy loco o es una buena idea establecerlo en el Proxy transparente?

Los sitios deben restringir cualquier funcionalidad de envío de datos a las solicitudes POST, para protegerse contra CSRF. Entonces, suponiendo que la participación será buena en los sitios incluidos en la lista blanca, parece que permitir las solicitudes GET es una buena idea. ¿Qué se recomienda?

    
pregunta George Bailey 09.07.2016 - 00:16
fuente

2 respuestas

2

No creo que su virus promedio esté diseñado para sortear los bloques de la lista blanca, y hacerlo a través de una pregunta del foro parece ser un ancho de banda demasiado bajo como para ser preocupante (o interesante para el escritor de virus promedio).

Digo 'promedio', porque este tipo de comportamiento es más esperado de un virus diseñado para eliminar información muy seleccionada de su red.

Pero, en ese momento (es decir, un virus diseñado solo para sus sistemas), me pregunto si no sería posible configurar algún tipo de canal encubierto; no lo he probado, pero tal vez leer una pregunta a través de GET incremente su vista ¿mostrador? En ese caso, el virus y su servidor CCC podrían acordar de antemano una serie de preguntas muy antiguas, que es poco probable que obtengan vistas, y la combinación para verlas con el fin de codificar una secuencia de bits determinada.

Creo que para el escenario "promedio" estás haciendo demasiado (pero, oye, más vale prevenir que lamentar - cinturón y tirantes y todo eso). Para el escenario "te están buscando", las estaciones de trabajo aisladas (y prescindibles, tal vez solo a través de imágenes y reformateo) y la compartimentación física de las consultas de Desbordamiento de pila y la información confidencial parecen preferibles.

    
respondido por el LSerni 09.07.2016 - 00:58
fuente
1
  

¿Es razonable una lista blanca de hosts? (Estoy pensando que sí, ya que hace   'llamar a casa' más difícil para un virus.)

Los hosts de la lista blanca son definitivamente razonables cuando se trata de bloquear la comunicación maliciosa de la red. Sin embargo, las visitas al sitio para todos los puntos finales en lista blanca requieren comunicación con otras entidades de terceros. El ecosistema combinado es lo que hace que la experiencia en general sea agradable. Así que puedes ir a la lista blanca de cosas pero será más difícil de mantener a medida que la lista se expanda.

  

Está permitiendo GET solo, sin que POST se considere poco práctico, o es   Esta es una técnica utilizada en la industria. ¿Estoy loco o esto es bueno?   idea para establecer en el proxy transparente?

Es poco práctico. Con cada punto final que agregue, deberá comprender los protocolos y las rabietas que se esperan de él. Estoy bastante seguro de que un gran grupo de sitios incluidos en la lista blanca no admite el enfoque GET solo.

    
respondido por el sandyp 09.07.2016 - 00:59
fuente

Lea otras preguntas en las etiquetas

Privacidad del empleado al usar el iPhone de la empresa en su propio Wi-Fi Mensajes de texto amenazantes en mi teléfono celular, 120 en un día pero sin número de teléfono para el remitente, ¿cómo obtengo esta información?