¿Por qué bloquear el tráfico de red saliente con un firewall?

El bloqueo del tráfico saliente suele ser beneficioso para limitar lo que puede hacer un atacante una vez que haya comprometido un sistema en su red.

Entonces, por ejemplo, si han logrado introducir malware en un sistema (a través de un correo electrónico infectado o una página del navegador), el malware podría intentar "llamar a casa" a un sistema de comando y control en Internet para obtener más información. Código descargado o para aceptar tareas de un sistema de control (por ejemplo, envío de correo no deseado)

Bloquear el tráfico saliente puede ayudar a evitar que esto suceda, por lo que no es tanto impedir que te infectes, sino menos hacerlo cuando sucede.

Podría ser una exageración para una red doméstica aunque hay muchos programas que hacen que las conexiones salgan y que debería pasar un poco de tiempo configurando todas las excepciones.

Desde un rol de seguridad, especialmente si alguna vez ha estado involucrado en la respuesta a incidentes, la idea del filtrado de salida parece un curso natural en un entorno de alta seguridad. Sin embargo, es una empresa muy grande y compleja. Mencione las palabras "filtro de egreso" a un firewall, red o administrador de sistemas y probablemente obtendrá esta respuesta.

Entonces,sibiensabemosquelosentornosdealtaseguridadpuedennecesitarestoyjustificaríaneltrabajoadicional,avecespuedeserdifícilobtenerlaaceptación.Enparticular,cuandoaunaunidadcuyatareaprincipalesmantenereltiempodeactividadselepiderepentinamentequeasumaunacantidaddemantenimientoadicionalpotencialmenteimportanteparalograralgoquetieneunaaltaprobabilidaddereducireltiempodeactividad.

Enestecaso,estaríamosdeacuerdoennomencionarelángulodecumplimiento.VeamoselPCI-DSSv2.0porunmomento.Lasecciónderequisitos1tratasobrelossistemasylaseguridaddelared.Esteesrelevanteaquí:

1.3.5

  

NopermitaeltráficosalientenoautorizadodesdeelentornodedatosdeltitulardelatarjetaaInternet.

Pormuchoqueatodosnosgustehablardecómo"Cumplimiento es un punto de partida" en el mundo real, a veces, la única tracción que podemos obtener obtener es el objetivo de completar esa casilla de verificación o aprobar esa auditoría. . Echar un vistazo a los documentos de cumplimiento relevantes para su campo o servicio podría ser útil. Si bien el PCI-DSS es un requisito exclusivo de la industria, acordado por la ley de contratos, es un conjunto de requisitos bastante específico que he visto adoptado como un estándar para auditar en otros lugares que tienen requisitos menos definidos.

A menos que bloquee todo el tráfico saliente que no sea una lista blanca de sitios web legítimos que visite (y / o use un proxy que realice listas blancas y escaneos de seguridad), se puede obtener poca seguridad adicional al bloquear todos los puertos, excepto 80/443. Bueno, bloquear el puerto 25 podría ser bueno para evitar que su red se use para enviar correo no deseado.

Muchas redes de bots ya se comunican a través de HTTP para conectarse a su red de comando / control ya que saben que otros puertos pueden estar bloqueados (algunos incluso usan DNS como su protocolo de comando / control). Por lo tanto, si va a permitir que su red se conecte a cualquier servidor HTTP, entonces no se está brindando mucha protección adicional al unirse a una red de bots, y continuamente tendrá problemas cuando intente ejecutar cosas que usan otros puertos como VPN, videoconferencia, juegos en línea, sitios web en puertos no estándar, FTP, etc. Y realmente necesita auditar regularmente los registros para detectar signos de infección.

Probablemente no valga la pena la molestia en una red doméstica. Probablemente sea mejor que pases tu tiempo intentando prevenir una infección de malware en lugar de mitigar el daño una vez que te hayas infectado.

El bloqueo de tráfico entrante solo puede evitar que el tráfico no solicitado llegue a su red interna. Sin embargo, si obtiene malware en una máquina interna (mediante la ejecución de un ejecutable que no es de confianza, o mediante un exploit), aún puede ser afectado.

El bloqueo del tráfico saliente ayuda a limitar el daño al evitar que el malware se conecte a un comando & Servidor de control o exfiltrado de datos. Si bien su máquina seguirá estando comprometida, podría evitar que un keylogger robe sus datos personales.

Dos razones:

1. En el caso de que el malware llegue a su red, el bloqueo del tráfico saliente a veces puede contener el daño al evitar que el malware se ponga en contacto con un servidor remoto. Si su firewall a nivel de máquina, también puede evitar que el malware se propague más a través de su red. No permitir el tráfico saliente también significa que su máquina se vuelve menos interesante como parte de una red de bots.
2. El software legítimo con capacidades de red podría ser vulnerable y podría ser engañado para configurar conexiones salientes que luego se pueden usar para comprometer aún más su sistema. Considere, por ejemplo, un servidor web que ejecuta una aplicación con un error que le permite a un atacante engañarlo para que descargue archivos a través de Internet en lugar de abrir archivos locales (por ejemplo, este error es fácil de producir y pasar por alto en PHP). . Si lo tiene desactivado correctamente, la solicitud simplemente fallará y tal vez incluso activará una alarma en algún lugar.

Más allá del control de daños después de un compromiso, es posible que también desee:

• Controle cómo (y si) los usuarios y procesos dentro de la red usan Internet

• Supervise sus procesos internos para detectar malware ("análisis de vulnerabilidad pasiva")

  

"se puede obtener poca seguridad adicional al bloquear todos los puertos excepto 80/443".

a menos que esté ejecutando un proxy para disfrazar su IP, qué código de un sitio web (o inyectado en un sitio web) podría omitir al llamar a casa en un puerto diferente, omitiendo así su proxy (que normalmente solo se configurará) para redireccionar el tráfico saliente en los puertos que normalmente usa su navegador).

Esto es tan simple que cualquiera que use Tor debería conocerlo, ya que perfora un agujero justo a través de la máscara que Tor proporciona.

Solución: Enrute TODOS los puertos a través del proxy (Tor no recomienda debido a la pérdida de rendimiento), o bloquee todos los puertos salientes, excepto los que se enrutan específicamente a través de su proxy.

El bloqueo de las consultas de DNS salientes para que el DNS solo se pueda enrutar a través de su servidor DNS preferido (servidor DNS de la empresa, OpenDNS, Quad9, DNS público de Google, etc.) es bastante común en una red que ha sido bastante segura.

US-CERT tiene un artículo informativo sobre esto, y enumera los impactos de no al hacerlo:

  

A menos que sean administrados por soluciones técnicas perimetrales, los sistemas cliente y las aplicaciones pueden conectarse a sistemas fuera del control administrativo de la empresa para la resolución de DNS. A los sistemas empresariales internos solo se les debe permitir iniciar solicitudes y recibir respuestas de servidores de nombres de almacenamiento en caché de DNS aprobados por la empresa. Permitir que los sistemas y aplicaciones cliente se conecten directamente a la infraestructura de Internet DNS introduce riesgos e ineficiencias para la organización, que incluyen:

     

• Se omitió la supervisión y el registro de empresas del tráfico DNS; este tipo de monitoreo es una herramienta importante para detectar posibles maliciosos
    Actividad de la red.
  
• Se omitieron las capacidades de filtrado de seguridad de DNS empresarial (sinkhole / redirect o blackhole / block); esto puede permitir a los clientes acceder   Dominios maliciosos que de lo contrario serían bloqueados.
  
• Interacción del cliente con servidores DNS comprometidos o maliciosos; esto puede causar respuestas DNS inexactas para el dominio solicitado (por ejemplo,
    el cliente se envía a un sitio de phishing o se sirve un código malicioso).
  
• Protección perdida contra el envenenamiento de caché de DNS y los ataques de denegación de servicio. Los efectos mitigantes de una grada o   jerárquico (por ejemplo, servidores DNS internos y externos separados,   DNS dividido, etc.) La arquitectura DNS utilizada para prevenir tales ataques es   perdido.
  
• Velocidad de navegación de Internet reducida ya que no se utilizará el almacenamiento en caché de DNS empresarial.
  

enlace

Este pensamiento es impulsado por todas las filtraciones de NSA y GCHQ durante los últimos meses: No lo bloquee: redirija todos los paquetes a un servidor de confianza de su propiedad o de otra persona para un examen más detenido. Esa es la única manera de atraparlos.

Un mejor enfoque para una red doméstica es un "firewall personal" de software que se ejecuta en cada PC y le pregunta al usuario si desea permitir que un programa que está tratando de establecer una conexión de salida lo haga.

Esto, aunque molesto al principio cuando te pide todo mientras intenta averiguar qué se debe permitir, es más fácil de mantener en un entorno doméstico que un firewall de red que realiza un bloqueo de salida que no tiene idea de la diferencia entre Google Chrome realiza una solicitud de página web y LulzBot2000 (sí, lo inventé) realizando una solicitud web de carga útil de malware.