¿Es suficiente el bloqueo de UDP y TCP para evitar la actividad de la red no deseada?

9

Quiero estar 100% seguro de que mi máquina solo se conecta donde y cuando lo quiero. Si utilizo un firewall que bloquea todos los paquetes UDP y TCP pero los que se me permiten pasar explícitamente, ¿puedo estar 100% seguro de que mi máquina no se conecta en ningún lugar sin mi aprobación?

Por ejemplo, si no conociera UDP en absoluto y solo especificara las reglas TCP en el firewall, seguiría siendo vulnerable al malware y al software espía desagradable que explota los paquetes UDP. En términos técnicos, ¿existen otros medios / protocolos aparte de UDP y TCP que puedan usarse para comunicarse con una computadora usando conexiones de red cableadas / inalámbricas? Además, ¿pueden los paquetes UDP y TCP pasar por alto los firewalls?

La pregunta surgió cuando instalé Little Snitch en mi Mac con sistema operativo Mavericks y noté que mi máquina intenta conectarse a varios servidores de Apple y de terceros, aunque le dije que no quería que se recopilara y enviara información. . Algunas de las conexiones estaban obviamente bien (por ejemplo, ntp time syncs), pero otras eran cuestionables por decir lo menos. Sé que los fabricantes de software / hardware pueden incrustar puertas traseras y snitches, por lo que estoy tratando de averiguar qué tan factible es en teoría (y práctica) tener un "control de bordes" confiable / robusto en mi máquina.

    
pregunta Greendrake 09.11.2013 - 11:12
fuente

6 respuestas

6

Dijo "Quiero estar 100% seguro de que mi máquina solo se conecta donde y cuando lo quiero", pero ¿tiene una estrategia para cubrir qué se envía?

Bloquear puertos siempre es una buena idea, pero para navegar en la web es posible que pueda conectarse en el puerto 80 y, en ese momento, el malware tiene una forma de comunicarse. Se da cuenta de esto, por lo que también bloquea todos los destinos de direcciones IP, excepto los que permite; Genial, eso debería hacerlo. Te gusta stackexchange y quieres publicar allí, así que te abres a los servidores SE y probablemente quieras a Google y algunos otros. En este punto, ya es vulnerable porque el malware podría enviar datos desde su máquina a una cuenta en stackexchange, google o en cualquier otro lugar al iniciar sesión en una cuenta específica y almacenar datos cifrados de 64d en el perfil de la cuenta para su posterior extracción. Tener filtrado de contenido podría funcionar, pero podría ser difícil de configurar. Por supuesto, estará atento a las alertas de su firewall para transferencias en un momento que no esperaba, pero el malware inteligente podría esperar hasta que lo vea enviar o recibir datos de stackexchange, por ejemplo, y enviarlos al mismo tiempo. Parecer ser parte de tu trafico. ¿Notarías entonces la conexión y el tráfico adicionales, o simplemente asumirías que era tu navegador el que abre más de una conexión, lo que tenderá a hacer de todos modos?

He pintado deliberadamente una imagen sombría que, si bien es improbable, es completamente posible, por lo que la respuesta a tu pregunta debe ser un "No". Lo único seguro contra incendios es nunca conectarlo a Internet.

    
respondido por el Nick 09.11.2013 - 20:52
fuente
5

Lo siguiente solo es válido si un atacante no puede controlar partes de su red, por ejemplo Servidores DNS o enrutadores; Si es así, estás condenado de todos modos :)

  

Si utilizo un firewall que bloquea todos los paquetes UDP y TCP pero los que explícitamente permito pasar, ¿puedo estar 100% seguro de que mi máquina no se conecta en ningún lugar sin mi aprobación?

Si bien puede estar seguro de que su máquina no se conecta a servidores / puertos que no permitió, no puede estar seguro de que no exista un canal de retorno para los atacantes. Si sus máquinas tienen DNS permitido, el pie en la puerta puede ser un canal DNS secreto, incluso si solo permite sus propios servidores DNS.

Para una introducción a los canales ocultos, consulte "Detección de túneles DNS" y "Canales encubiertos" por SANS Reading Room.

  

Por ejemplo, si no conociera UDP en absoluto y solo especificara las reglas TCP en el firewall, seguiría siendo vulnerable al malware y al software espía desagradable que explota los paquetes UDP. En términos técnicos, ¿existen otros medios / protocolos aparte de UDP y TCP que puedan usarse para comunicarse con una computadora usando conexiones de red cableadas / inalámbricas?

Consulte SCTP , pero debe estar disponible en su máquina (no conozca los valores predeterminados).

  

También, ¿pueden los paquetes UDP y TCP pasar por alto los firewalls?

Por lo general, no, pero si tiene IPv4 e IPv6 habilitados y configuró su firewall solo para IPv4, entonces los paquetes pueden salir a través de IPv6.

De lo contrario, no conozco una manera de evitar un filtro de paquetes.

    
respondido por el that guy from over there 09.11.2013 - 13:38
fuente
3

cat /etc/protocols (en Linux) le mostrará todos los protocolos posibles; aunque es probable que (?) su kernel no los soporte a todos.

Sin embargo, la buena noticia es que iptables, de forma predeterminada, actúa en todos los protocolos. Así que esta línea, que a menudo aparece al final de sus iptables.rules,

-A FIREWALL-INPUT -j REJECT --reject-with icmp-host-prohibited

rechaza los paquetes no solo en todos los puertos tcp / udp que no se permitieron explícitamente, sino en todos los protocolos que no se permitieron explícitamente.

Todo esto asume que no hay una configuración incorrecta, o errores del núcleo. Tampoco considera los dispositivos que no están controlados por su kernel. P.ej. una memoria USB puede parecerse a un sistema de archivos para el O / S, pero usa bluetooth o wifi bajo la superficie. (Ya sea como una característica pública, o sin su conocimiento.) (Otras personas ya han mencionado la tunelización).

    
respondido por el Darren Cook 12.11.2013 - 00:49
fuente
2

Mucha información errónea en estas respuestas.

Si su firewall está bloqueando TCP para IPv4 / UDP para IPv4, entonces todo lo que está prestando atención son los paquetes IPv4 donde se especifican TCP o UDP. La mayoría de los firewalls requieren configuraciones adicionales para bloquear TCP y UDP para IPv6.

Así que sabemos sobre TCP y UDP, ¿qué pasa con el resto de los protocolos IP? Bueno, aquí hay una lista de otros protocolos que su firewall puede permitir que todos usen IP y son válidos para que su enrutador los envíe .

Seguro que TCP y UDP son los más comunes, pero incluso si bloqueas todos los demás protocolos IP conocidos, ¿qué me impide utilizar otro protocolo? ¿Qué tal el Protocolo IPv4 253, el protocolo Matthew? Siempre que haya un destino de IP válido, irá a la dirección IP correcta.

Saltando al mundo de los sombreros de papel de aluminio, digamos que bloqueas IPv4 e IPv6 en tu Firewall (estás preocupado por el protocolo Matthew y todos los demás protocolos IP). Finalmente, ¿qué me impide hacer una aplicación que envíe datos arbitrarios desde su tarjeta de red y tenga otra cosa en su red que la interprete? ¿Qué me impide crear un controlador de tarjeta de red que escribe 0 y 1 en bruto que luego decodifico en otro lugar en su cable? O escribiendo marcos Ethernet. Por supuesto, para superar su enrutador, tendría que estar hablando de alguna forma de IPv4 o IPv6, ya que los enrutadores tienden a abandonar todo lo demás (aparte de responder a algunas tramas ARP Ethernet).

Hace poco vi a Broadcomm usando sus propios marcos ARP extraños en mi adaptador local (presumiblemente para la funcionalidad de trabajo en red de la red), pero nunca menos.

    
respondido por el Matthew1471 07.03.2016 - 20:58
fuente
1

Has descubierto la razón por la que los sistemas están separados por el aire. El punto principal es evitar que alguien extraiga datos de su red, y es más fácil clasificar los métodos en términos generales y darse cuenta de que un enfoque holístico sería mejor.

  1. Identificación de puntos finales: incluye una lista blanca de puntos finales, consistencia dns / IP
  2. Corrección del protocolo de conexión: tunelización, puerto / protocolo no estándar, tamaños de paquetes inconsistentes, señalización a través de medios no estándar
  3. Corrección de la aplicación: comportamiento consistente de la aplicación.
  4. Patrones de uso del usuario: patrones de usuario coherentes

Lo principal es: el bloqueo es solo la punta del iceberg. Tendrá que decidir qué postura adoptar en función de la cantidad de tiempo / esfuerzo / dinero que desea aplicar.

    
respondido por el Munchen 07.03.2016 - 23:22
fuente
-2

Bloquear todo el tráfico TCP y UDP equivale a sacar el cable de red de la parte posterior de su computadora.

Sí, el bloqueo de TCP y UDP evitará que se realicen conexiones no deseadas ... pero va a detener muchas de las conexiones que desea.

    
respondido por el Jasper 09.11.2013 - 13:20
fuente

Lea otras preguntas en las etiquetas