¿Por qué bloquear el tráfico de red saliente con un firewall?

54

En términos de una red doméstica, ¿hay alguna razón para configurar un firewall de enrutador para que se bloqueen todos los puertos salientes y luego se abran puertos específicos para cosas como HTTP, HTTPS, etc. Dado que cada computadora en la red ¿Se confía, seguramente la cantidad de seguridad adicional provista por el bloqueo de puertos salientes sería bastante insignificante?

    
pregunta Alex McCloy 21.11.2012 - 13:17
fuente

10 respuestas

63

El bloqueo del tráfico saliente suele ser beneficioso para limitar lo que puede hacer un atacante una vez que haya comprometido un sistema en su red.

Entonces, por ejemplo, si han logrado introducir malware en un sistema (a través de un correo electrónico infectado o una página del navegador), el malware podría intentar "llamar a casa" a un sistema de comando y control en Internet para obtener más información. Código descargado o para aceptar tareas de un sistema de control (por ejemplo, envío de correo no deseado)

Bloquear el tráfico saliente puede ayudar a evitar que esto suceda, por lo que no es tanto impedir que te infectes, sino menos hacerlo cuando sucede.

Podría ser una exageración para una red doméstica aunque hay muchos programas que hacen que las conexiones salgan y que debería pasar un poco de tiempo configurando todas las excepciones.

    
respondido por el Rоry McCune 21.11.2012 - 13:30
fuente
24

Desde un rol de seguridad, especialmente si alguna vez ha estado involucrado en la respuesta a incidentes, la idea del filtrado de salida parece un curso natural en un entorno de alta seguridad. Sin embargo, es una empresa muy grande y compleja. Mencione las palabras "filtro de egreso" a un firewall, red o administrador de sistemas y probablemente obtendrá esta respuesta.

Entonces,sibiensabemosquelosentornosdealtaseguridadpuedennecesitarestoyjustificaríaneltrabajoadicional,avecespuedeserdifícilobtenerlaaceptación.Enparticular,cuandoaunaunidadcuyatareaprincipalesmantenereltiempodeactividadselepiderepentinamentequeasumaunacantidaddemantenimientoadicionalpotencialmenteimportanteparalograralgoquetieneunaaltaprobabilidaddereducireltiempodeactividad.

Enestecaso,estaríamosdeacuerdoennomencionarelángulodecumplimiento.VeamoselPCI-DSSv2.0porunmomento.Lasecciónderequisitos1tratasobrelossistemasylaseguridaddelared.Esteesrelevanteaquí:

1.3.5

  

NopermitaeltráficosalientenoautorizadodesdeelentornodedatosdeltitulardelatarjetaaInternet.

Pormuchoqueatodosnosgustehablardecómo"Cumplimiento es un punto de partida" en el mundo real, a veces, la única tracción que podemos obtener obtener es el objetivo de completar esa casilla de verificación o aprobar esa auditoría. . Echar un vistazo a los documentos de cumplimiento relevantes para su campo o servicio podría ser útil. Si bien el PCI-DSS es un requisito exclusivo de la industria, acordado por la ley de contratos, es un conjunto de requisitos bastante específico que he visto adoptado como un estándar para auditar en otros lugares que tienen requisitos menos definidos.

    
respondido por el Scott Pack 21.11.2012 - 15:54
fuente
19

A menos que bloquee todo el tráfico saliente que no sea una lista blanca de sitios web legítimos que visite (y / o use un proxy que realice listas blancas y escaneos de seguridad), se puede obtener poca seguridad adicional al bloquear todos los puertos, excepto 80/443. Bueno, bloquear el puerto 25 podría ser bueno para evitar que su red se use para enviar correo no deseado.

Muchas redes de bots ya se comunican a través de HTTP para conectarse a su red de comando / control ya que saben que otros puertos pueden estar bloqueados (algunos incluso usan DNS como su protocolo de comando / control). Por lo tanto, si va a permitir que su red se conecte a cualquier servidor HTTP, entonces no se está brindando mucha protección adicional al unirse a una red de bots, y continuamente tendrá problemas cuando intente ejecutar cosas que usan otros puertos como VPN, videoconferencia, juegos en línea, sitios web en puertos no estándar, FTP, etc. Y realmente necesita auditar regularmente los registros para detectar signos de infección.

Probablemente no valga la pena la molestia en una red doméstica. Probablemente sea mejor que pases tu tiempo intentando prevenir una infección de malware en lugar de mitigar el daño una vez que te hayas infectado.

    
respondido por el Johnny 21.11.2012 - 18:25
fuente
10

El bloqueo de tráfico entrante solo puede evitar que el tráfico no solicitado llegue a su red interna. Sin embargo, si obtiene malware en una máquina interna (mediante la ejecución de un ejecutable que no es de confianza, o mediante un exploit), aún puede ser afectado.

El bloqueo del tráfico saliente ayuda a limitar el daño al evitar que el malware se conecte a un comando & Servidor de control o exfiltrado de datos. Si bien su máquina seguirá estando comprometida, podría evitar que un keylogger robe sus datos personales.

    
respondido por el Polynomial 21.11.2012 - 13:28
fuente
7

Dos razones:

  1. En el caso de que el malware llegue a su red, el bloqueo del tráfico saliente a veces puede contener el daño al evitar que el malware se ponga en contacto con un servidor remoto. Si su firewall a nivel de máquina, también puede evitar que el malware se propague más a través de su red. No permitir el tráfico saliente también significa que su máquina se vuelve menos interesante como parte de una red de bots.
  2. El software legítimo con capacidades de red podría ser vulnerable y podría ser engañado para configurar conexiones salientes que luego se pueden usar para comprometer aún más su sistema. Considere, por ejemplo, un servidor web que ejecuta una aplicación con un error que le permite a un atacante engañarlo para que descargue archivos a través de Internet en lugar de abrir archivos locales (por ejemplo, este error es fácil de producir y pasar por alto en PHP). . Si lo tiene desactivado correctamente, la solicitud simplemente fallará y tal vez incluso activará una alarma en algún lugar.
respondido por el tdammers 21.11.2012 - 13:48
fuente
3

Más allá del control de daños después de un compromiso, es posible que también desee:

  • Controle cómo (y si) los usuarios y procesos dentro de la red usan Internet

  • Supervise sus procesos internos para detectar malware ("análisis de vulnerabilidad pasiva")

respondido por el tylerl 21.11.2012 - 17:44
fuente
2
  

"se puede obtener poca seguridad adicional al bloquear todos los puertos excepto 80/443".

a menos que esté ejecutando un proxy para disfrazar su IP, qué código de un sitio web (o inyectado en un sitio web) podría omitir al llamar a casa en un puerto diferente, omitiendo así su proxy (que normalmente solo se configurará) para redireccionar el tráfico saliente en los puertos que normalmente usa su navegador).

Esto es tan simple que cualquiera que use Tor debería conocerlo, ya que perfora un agujero justo a través de la máscara que Tor proporciona.

Solución: Enrute TODOS los puertos a través del proxy (Tor no recomienda debido a la pérdida de rendimiento), o bloquee todos los puertos salientes, excepto los que se enrutan específicamente a través de su proxy.

    
respondido por el mr random 07.07.2013 - 13:05
fuente
2

El bloqueo de las consultas de DNS salientes para que el DNS solo se pueda enrutar a través de su servidor DNS preferido (servidor DNS de la empresa, OpenDNS, Quad9, DNS público de Google, etc.) es bastante común en una red que ha sido bastante segura.

US-CERT tiene un artículo informativo sobre esto, y enumera los impactos de no al hacerlo:

  

A menos que sean administrados por soluciones técnicas perimetrales, los sistemas cliente y las aplicaciones pueden conectarse a sistemas fuera del control administrativo de la empresa para la resolución de DNS. A los sistemas empresariales internos solo se les debe permitir iniciar solicitudes y recibir respuestas de servidores de nombres de almacenamiento en caché de DNS aprobados por la empresa. Permitir que los sistemas y aplicaciones cliente se conecten directamente a la infraestructura de Internet DNS introduce riesgos e ineficiencias para la organización, que incluyen:

     
  • Se omitió la supervisión y el registro de empresas del tráfico DNS; este tipo de monitoreo es una herramienta importante para detectar posibles maliciosos
      Actividad de la red.
  •   
  • Se omitieron las capacidades de filtrado de seguridad de DNS empresarial (sinkhole / redirect o blackhole / block); esto puede permitir a los clientes acceder   Dominios maliciosos que de lo contrario serían bloqueados.
  •   
  • Interacción del cliente con servidores DNS comprometidos o maliciosos; esto puede causar respuestas DNS inexactas para el dominio solicitado (por ejemplo,
      el cliente se envía a un sitio de phishing o se sirve un código malicioso).
  •   
  • Protección perdida contra el envenenamiento de caché de DNS y los ataques de denegación de servicio. Los efectos mitigantes de una grada o   jerárquico (por ejemplo, servidores DNS internos y externos separados,   DNS dividido, etc.) La arquitectura DNS utilizada para prevenir tales ataques es   perdido.
  •   
  • Velocidad de navegación de Internet reducida ya que no se utilizará el almacenamiento en caché de DNS empresarial.
  •   

enlace

    
respondido por el yourcomputergenius 05.12.2018 - 00:49
fuente
0

Este pensamiento es impulsado por todas las filtraciones de NSA y GCHQ durante los últimos meses: No lo bloquee: redirija todos los paquetes a un servidor de confianza de su propiedad o de otra persona para un examen más detenido. Esa es la única manera de atraparlos.

    
respondido por el ott-- 12.09.2013 - 22:29
fuente
0

Un mejor enfoque para una red doméstica es un "firewall personal" de software que se ejecuta en cada PC y le pregunta al usuario si desea permitir que un programa que está tratando de establecer una conexión de salida lo haga.

Esto, aunque molesto al principio cuando te pide todo mientras intenta averiguar qué se debe permitir, es más fácil de mantener en un entorno doméstico que un firewall de red que realiza un bloqueo de salida que no tiene idea de la diferencia entre Google Chrome realiza una solicitud de página web y LulzBot2000 (sí, lo inventé) realizando una solicitud web de carga útil de malware.

    
respondido por el Rod MacPherson 13.09.2013 - 05:32
fuente

Lea otras preguntas en las etiquetas