Каков риск, если все исходящие соединения / порты открыты?
Чтобы разрешить подключение авторизации facebook на нашем сервере, мы решили открыть все исходящие подключения / порты в брандмауэре, чтобы проверить, действительно ли это проблема безопасности.
после разрешения сработало соединение с фейсбуком.
однако у меня нет идеи, каковы риски, если мы полностью реализуем эти настройки.
благодарю вас!
4 ответа
Я думаю, что "общая мудрость" в блокировании трафика, исходящего из сети, всегда была чем-то вроде "Плохие люди могли отправлять трафик из вашей сети так, как вы этого не хотите". Конечно, я видел удаленные эксплойты, сорванные агрессивными брандмауэрами, которые не позволяют FTP-файлу эксплойта загружать полезную нагрузку и т. Д. Есть некоторое значение в ограничении выходных портов.
Тем не менее, все может быть туннелировано по другому протоколу (произвольный TCP по HTTP, SSH по DNS, IP по почтовому голубю и т. Д.), Поэтому ограничение выходных портов для ограничения выходного трафика создает впечатление ложного чувства безопасности по этому поводу., Если вы не проверяете выходной трафик на уровне 7, вы не можете быть уверены, что отправка запросов через TCP-порт 80 действительно является HTTP-клиентом. Даже если это HTTP-клиент, если вы не слишком суровы в рассмотрении уровня 7, это может быть HTTP-клиент, который туннелирует произвольные данные через HTTP.
Ограничение выходных портов - хорошая идея, но не думайте, что это серьезная "победа в сфере безопасности". "Умное" программное обеспечение (malicioius или другое - Skype - хороший пример программы, которая очень хорошо обрабатывает отфильтрованные выходные порты) будет работать вокруг вас.
Кроме того, я не знаю, что Facebook нуждается в чем-то кроме HTTP и HTTPS.
Если у вас есть компьютеры с Windows в локальной сети, я настоятельно рекомендую закрыть как минимум порт 25 для всех, кроме почтовых серверов. Некоторые вирусы / черви могут заставить зараженную машину отправлять спам-сообщения. Это может очень быстро привести вас в черные списки, что может серьезно повлиять на вашу способность отправлять законные электронные письма. Это произошло там, где я работаю сразу после того, как начал там, и потребовалось немало усилий, чтобы удалиться из этих списков. Нет никакого реального способа сказать, сколько дохода компания потеряла в результате, но мы знаем, что потеряли, по крайней мере, некоторых клиентов.
Обычно гораздо важнее блокировать входящие соединения, чем исходящие; блокировка исходящих соединений имеет смысл только в том случае, если вы боитесь, что на вашем сервере может работать что-то, чему вы не доверяете, и это обычно не относится к системам Linux (гораздо больше к системе Windows, которая может легко заразиться червями), и обычно к Серверные системы, к которым имеют доступ только администраторы, снижают риск случайной загрузки чего-либо плохого из Интернета.
Тем не менее, вам не нужно открывать ничего, кроме исходящих HTTP (80) и HTTPS (443), чтобы получить доступ к Facebook, который является веб-сайтом и не использует какой-либо другой протокол.
Помимо рассылки спама через SMTP, одна вещь, которую я видел, - зараженная машина во внутренней сети, звонящая домой на удаленный IRC-сервер. Это классически используется в бот-сетях и может выиграть от ограничения исходящих соединений.
Однако, как говорили другие, по мере того, как атаки становятся все более изощренными, можно будет обойти все эти вещи.