Jak blokujecie ruch wychodzący
Ostatnio przy audycie dostałem pytanie czemu nie blokuje całego wychodzącego ruchu z jednostki. Niby powinienem zablokować wszystko i zostawić kilka niezbędnych portów np. 80, 443, 465, 995, port od anydesk, teamviewer itp. (tylko te co potrzeba). Zostawiając otwarte porty atakujący może od lokalnej sieci zestawić połączenie i mieć do niej dostęp, blokując porty zamykamy możliwość zestawienia połączenia do niektórych usług i niby powinniśmy być bezpieczniejsi. Spotkałem się również ze stwierdzeniem, że wszystko powinno być odblokowane, a inne systemy np. NGFW powinien blokować dziwny ruch.
Jak to jest u was, czy blokujecie wszystko?
8 Odpowiedzi
Zostaw odpowiedź
Musisz się zalogować lub zarejestrować aby dodać nowy odpowiedź.
Tak. Zgodnie z zasadą najmniejszego uprzywilejowania blokuję każdy ruch który nie jest dozwolony/potrzebny/wymagany w organizacji lub przez daną stację czy użytkownika. Tzn każdy rodzaj ruchu wychodzącego który akceptujemy ma swoją regułę firewalla (ACCEPT) – wszystko inne DENY. Daje to kontrolę nad ruchem co znacznie podwyższa ogólny poziom bezpieczeństwa.
Czyli zamiast – all all ACCEPT – budujemy polityki wg schematu:
Blokować ruch możesz właśnie za pomocą NGFW 🙂
Na nim ustawiasz domyślną politykę która blokuje wszystko. Następnie tworzysz szczegółowe polityki, które odblokowują tylko ten ruch, który potrzebujesz
Blokujemy wszystko co nie jest konieczne.
W mikrotiku jak wyżej – reguły accept, reszta drop, w UTMie kilka polityk z różnymi podwyższonymi uprawnieniami i przypisane do nich MACi, reszta do ogólnej mocno restrykcyjnej polityki.
Blokujesz wszystko otwierasz to co potrzebujesz po duzym zastanowieniu.
Do zarządzania siecią polecam shorewall
U mnie podobnie. Co niepotrzebne, jest zablokowane. Nad wszystkim czuwa sobie Watchguard.
NGFW w porównaniu do standardowej zapory sieciowej jest dość zaawansowanym systemem. Jest to zwykle maszyna wirtualna bądź dedykowane urządzenie umożliwiające zastosowanie spersonalizowanej polityki bezpieczeństwa pod daną organizację. Zakres działania takiego systemu obejmuje nie tylko translację adresów sieciowych, filtrowanie pakietów czy obsługę wirtualnych sieci prywatnych (tak jak w przypadku standardowej zapory sieciowej), ale ma także wbudowany system wykrywania zagrożeń oraz kontrolę ruchu szyfrowanego. Kontroluje także ruch pochodzący z aplikacji z których korzystają pracownicy. To w sumie tylko kilka różnic natomiast samo rozwiązanie ma o wiele większe możliwości. Osobiście na co dzień działam na urządzeniu od Barracuda Networks umieszczonym na brzegu sieci i moje odczucia co filtrowania sieci czy blokowania ruchu wychodzącego są jak najbardziej pozytywne.
Cześć.
Tak jak u kolegi Foxiora nad wszystkim czuwa Watchguard drogi, nie da on przejścia bez mojej zgody. A tak na poważnie blokowanie wszystkiego i poszczególne polityki zezwalające na ruch.
Pozdrawiam.
SonicWall blokujesz wszystko co nie jest konieczne. Odpowiednimi regułami zezwalasz na to czego potrzebujesz.