web-dev-qa-db-ja.com

出力トラフィック(CSF)をフィルタリングする目的は何ですか?

しばらくの間、私はCSFをLFDのメインファイアウォールとして使用し、OSSECをメインIDSとして使用しています。 (私はCSFの過剰反応する組み込みIDSよりもOSSECが好きです)。

スローロリスの亜種やシンフラッドなどの小さなDoS攻撃についてテストしました。正常に動作します。 Apacheはmod_securityとmod_evasiveで実行されています。正常に動作します。

バックエンド監査では、パスワードファイルの変更を監視しており、Clam AVをメインAVとして実行し、LMD(Linuxマルウェア検出)を夜間に実行しています。 LSMは、すべてのデーモンのポートアクティビティを監視しています。

サーバー上で実行されているインターネットにアクセス可能なサービスは、TORリレー(出口なし)、Apache、およびSSHDのみです。

質問:サーバーからの出力トラフィックをCSFでフィルタリングする必要があるのはなぜですか?

サーバーからの退出を許可するトラフィックを管理する以外に利点はありません。サーバーを使用している他のユーザーがいないため、ハッカー/クラッカーは、開いている既存のポート22,80,443,9001,9030,9595のいずれかを使用してサーバーを終了できます。なぜそれをフィルタリングするのですか?

メタ:Centos 64b、LMD、監査、CSF、LFD、OSSEC HIDS、ClamAV、LSM

追伸:なぜこの質問をしているのかを説明するのを忘れました:Clamdは定期的に更新したいと思っており、発信ポートを設定できないようです。

2
BTZ

(CSFまたはその他の方法で)出力トラフィックをフィルタリングする理由は、セキュリティリスクプロファイルを減らすためです。これは、セキュリティの脅威が高い環境、たとえば、ユーザーがインストールするソフトウェアを完全に制御できない共有Webホスティングサーバーでは特に重要です。

このような環境で、ユーザーが脆弱なソフトウェアをインストールすると、攻撃者がサーバー上で任意のコードを実行できるようになります。 デフォルトではセキュリティ哲学を拒否 、出力トラフィックをフィルタリングすると、攻撃者が実行できる機能が制限されます。行う。たとえば、someの開いているポートがある場合でも、出力25/tcpがブロックされていると、ボックス上の特権のないユーザーは、送信せずにスパムを電子メールで送信できません。サーバー上のMTAを介して。

特定のケースでは、ファイアウォール構成をデフォルトの拒否セキュリティ哲学に移行するために必要な労力が時間の価値があるかどうかを判断する必要があります。

1
Preston