私はファイアウォールを回避する方法を知っていますが、セキュリティの専門家ではありません。そして最近、どの企業のファイアウォールのアウトバウンドルールを効果的に構成するのかと思います。
質問のために、すべてのクライアントコンピューターに最新のウイルス対策ソフトウェアがインストールされており、Webアクセスがプロキシされ、ウイルス活動がスキャンされていると仮定します。完全に構成されているが、未知のウイルスであると仮定しましょう、または特別に設計されたアプリケーション(root権限を必要としない)は、コンピューターのユーザー空間で実行されます。
理論的には、使用されるすべてのソフトウェアを追跡し、宛先ポートHTTP(S)/ 80 + 443、「Message Submission」/ 587およびIMAPS/993、および必要な宛先ポートを通過させるようにファイアウォールを構成しますLOBアプリケーションの場合。
しかし、それは簡単に10〜20以上の宛先ポートになる可能性があります。マルウェアがHTTPパケット内の情報をカプセル化し、それを受信側のポート80に送信するだけの場合は、文書化して更新する必要があります。これにより、大量の作業が発生し、エラーが発生しやすくなります。
そしてそれは、私が何をすべきかです:会社の情報を漏らすためにウイルスを書いたり、それらをボットネットに参加させたりする場合、通常は、ポート6667/IRCを介して受信/制御サーバーに接続することすらしませんブロックされました。 HTTPパケットにすべての情報をカプセル化し、宛先ポート80/HTTPに接続します。
ディープパケットインスペクションについて読みましたが、破壊的なパケットがどのように見える必要があるかを正確に知る必要があるように思えます。つまり、ユーザーからHTTPを介して合法的に転送されるファイルと、マルウェアからHTTPを介して違法に転送されるファイルを区別できるDPIフィルターを作成する必要があります。
この考えでは、LANからWANへのサービスを許可する以上にファイアウォールで作業する必要がある理由がわかりません。
あなたはいくつかのことを混乱させています。
まず、ほとんどすべての標準プロトコル(ペストのように回避する必要があるFTP用に保存)には、少数の標準ポートしかありません。これらのポートは標準であるため、頻繁に変更されることはなく、更新する必要もありません。
現在、一部のアプリケーションでは、特定のポートを開く必要があります。通常、これは例外プロセスを通じて処理されます。アプリケーション所有者は、ファイアウォールチームにアクセスを開くためのリクエストを送信します。通常、このリクエストは特定の範囲の内部システムに限定され、特定のポートリストを備えた特定の範囲の外部システムに送信されます。次に、この要求をドキュメントとして入力し、許可されている場合は、それに応じてファイアウォール構成を更新できます。
しかし、あなたの質問はあなたがこれに間違って取り組んでいることを示しています。あなたが求めていることは、家のドアをロックすることがブルドーザーにアクセスできる人がいることを知っているので、努力する価値があるかどうかを尋ねるようなものです。保護戦略を設計するための適切なプロセスは次のとおりです。
ステップ3を除いて、これらのいずれも行わないようです。
ウイルスまたはアクティブな攻撃者が、同じクライアントPCで任意のコードを実行できるPCに保存されている会社のデータを盗み出すことを阻止することが目標である場合は、うんざりしています。
データをダンプするための膨大な数のサイトがあり、それらもユーザーが正当なアクセスを必要とするサイトと同じです。あなたは単にこれらをブロックすることはできません。本質的にほとんどのインターネットをブロックするつもりがない限り、それを忘れて、ブロックすることでこれを行うことはできません。
結局のところ、攻撃者がデータを持っている場合に攻撃者をブロックするアプローチは無意味です。それは、モナリザを盗まれたばかりの未知の泥棒が国を去るのを止めようとするようなものです。方法が多すぎて、とにかく彼/彼女がどのように見えるかわかりません。本当にばかばかしい泥棒は、とにかくこれまでこれを得たことは決してなかっただろう。
代わりに、そもそもデータへのアクセスを制限し、関係のなくなった情報を削除することに重点を置く必要があります。データ保持ポリシーは何ですか?攻撃者は削除されたデータを盗むことはできません。
知識、製品、構成にどれだけ投資するかは、リスクの高さによって異なります。 100%のセキュリティを提供するソリューションはありませんが、単純なパケットフィルターファイアウォールが提供できるセキュリティと、アプリケーションレベルのゲートウェイが実行できるセキュリティには大きな違いがあります。
さまざまな製品で見つかるのは、多くの場合、テクノロジーの組み合わせです。つまり、基本的なもののための高速パケットフィルタリング、より高度なもののためのいくつかのパッシブDPI、時にはWebおよびメール用のアプリケーションレベルのゲートウェイです。
すでに内部にあるマルウェアについては:自宅に電話したいだけなら(コマンドアンドコントロール通信)、IRCのようないくつかのポートをブロックすることは少し効果的かもしれません。しかし、現在のマルウェアは通常いずれにせよHTTPを使用するため、既知のC&Cサーバーのブラックリストを採用する方が理にかなっています。これらが判明すると、そのようなブラックリストは、しばしばパケットフィルターレベル(つまり、ターゲットIPアドレス)で実装できますが、パケットフィルターはそのようなものをサポートする必要があります。ただし、一部のマルウェアはTwitterやブログサイトをC&Cに使用しているため、ブロックするのが非常に困難です。
最後に、攻撃者がより簡単なターゲットに移動できるように、攻撃者を困難にすることができます。残念ながら、本当に興味深いデータがある場合、ハッカーはこれを行いません。これらのデータは多額の価値があるからです。したがって、違反検出システムを採用する必要があります...-それはあなたと攻撃者の両方にとってより複雑になるだけであり、双方に必要なお金/労力は増加します。つまり、最終的に、保護する必要があるもの、その価値、および攻撃者と戦うために製品、トレーニング、知識、サポートに費やすことができる金額を最初に知る必要があります。
ステファンは正解です。可能な限りすべてをブロックすることは非常に困難です。むしろ、セキュリティ/リスク分析から始めて、どのレベルでどのデータ/システムを保護すべきかを特定します。次に、目的の保護レベルを実装する方法を検索します。一部の保護が不可能であるか、技術的に非常に複雑な場合は、代替のコントロールが存在する可能性があります。たとえば、「不正な」HTTPパケットをすべてブロックできない場合は、高度なセキュリティデータを扱うスタッフをトレーニングして、電子メールや疑わしいWebページなどからウイルスに感染するのを防ぐことができます。
あなたの質問に対する技術的な解決策として、それはDPIだけでなく、アプリケーションファイアウォール、またはアプリケーションごとのセキュリティ制御を提供するソフトウェアである可能性があり、GNU/Linuxの場合は次のようになります。
さらに、 データ損失防止システム を確認することもできます。
最後に、私たちの研究グループでは、DPIフィルターの種類( http://www.lock-keeper.org/ )の概念があり、特定の事前定義されたタイプのパケットのみを通過させることができます。 、それ以外はすべてブロックされています。ただし、これは毎日のインターネット使用を目的としたものではなく、定期的にインターネットを介してサーバーにデータを定期的に送信する必要があるが、このサーバーへのアクセスを開きたくない場合に使用します。この場合、ファイアウォールを構成して、たとえば、事前定義されたフォーマットとサイズのテキストファイルのみをFTP経由で事前定義された期間内に1日に1回送信できるようにし、それが他のすべてであってもブロックすることができます。有効なFTP接続。
ファイアウォールはスパイ活動を防止することはできませんが、ファイアウォールが防止するのに役立つ他の多くの脅威があります。例えば:
ダニエル、あなたがどこから来たのか、私は間違いなく理解しています。アウトバウンドトラフィックフィルタリングを行うことは、裏側でそのような苦痛のように思えます。そして、まあ、それはcanそれがどのように行うか、そしてあなたが達成したいことによっては、裏側で本当の苦痛になるかもしれません。さらに、ユーザーは、正当な仕事の目的で(場合によっては正当性の低い非仕事の目的で)アクセスしたいものが、不注意または故意にフィルタースキームによってブロックされ、一般に苦痛を伴うすべての人に不平を言います。そして、あなたが述べたように、多くの巧妙な攻撃者とそのマルウェアは、思いがけない成功の頻度で、ほとんどの考え抜かれたフィルタリングスキームさえも通り抜ける方法を見つけました。では、送信フィルタリングを行う意味は何でしょうか?
確かに、送信フィルタリングは、ネットワークのPCでマルウェア対策プログラムを実行するのと同じように役立ちます。また、スパムやフィッシングメールがメールサーバーに到達したときにそれらをフィルタリングしようとすると便利です。または、スピアフィッシングの危険性についてのユーザー教育、パスワードポリシーの導入、アプリケーションのホワイトリストの実装など、「成功」してもすべての攻撃を検出または停止できない場合でも、他の多くのことを実行します。重要なのは、実行できる特定の手段が攻撃を検出/停止するかどうかではありませんall攻撃。何もしません。重要なのは、それがsome攻撃を検出または停止するかどうかです。または、より正確には、多層攻撃の多層防御体制の1つの要素となるに値するほど、いくつかの攻撃の検出/阻止に十分効果的であるかどうか。また、対策を実装するのに必要なリソース(時間と注意を含む)や、組織がユーザーが受け入れるデータ/システムを受け入れる準備ができている、または準備ができていないセキュリティリスクのレベルなどのその他の考慮事項を検討する必要があることを決定する防御を構築しています。
「発信フィルタリングの方法でXを実行することは価値がある」と伝えることができることを知らない/そうでなければ、組織の目から見て、保護しようとしているのは重要です。しかし、私は、アウトバウンドフィルタリングを実行することは、決してすべてかゼロかということではないことを指摘できます。たとえば、他の人が言ったように、承認された従業員の使用中にインターネットにアクセスする必要がないと確信しているポートからの発信トラフィックをブロックする単純な静的ファイアウォールルールを配置することは、通信を停止することができる基本的かつ効果的な手段ですある種のマルウェアの影響を妨げます。さらに複雑にしたい場合は、インターネットに向かうすべてのhttpおよびhttpsトラフィックのプロキシを作成し、サブスクライブするブラックリストのリモートIPとの間の接続をブロックするには、より多くの設定とメンテナンス作業が必要になります(そして、どのブラックリストサービスを利用したかに応じて、潜在的にはある種の金銭的支出が発生します。しかし、それは(おそらく)より多くの悪意のある活動をブロック/妨害します。そしてもちろん、フィルタリングは物事をより複雑にし、潜在的にそこからより多くのリソースを消費します。
しかし、私の全体的なポイントは次のとおりです。停止一部攻撃に対する効果の観点からおそらくあなたが行うのに意味のあるある程度のフィルタリング攻撃とセットに必要なリソースアップとメンテナンス。一方の極端に行きたくない、多くの高度な脅威を阻止できないリソース集約的なことをしようとするという事実は、もう一方に行って何もしないことを意味するわけではありません。
特定の度合いのフィルタリング手段があなたのケースにとって意味があるのかどうかについては、あなただけが実際にそれに答えることができます。しかし、基本のいくつかが、少なくとも何らかの価値があるかどうかについては、少し時間がかかるかもしれません。
Windowsネットワーキングをブロックするために、137,138,139,445以外は気にしません。デフォルトになっている他の事柄に対する事故に懸念があった場合、それらをブロックすることについても議論します(SNMPに関する200_successの回答)。この時点で悪意を防ぐには遅すぎます。
HTTP/HTTPSアウトバウンドを監視する多くの試みを見てきました。 HTTPSの大量傍受は破壊的であり、ユーザーを侮辱し、実用性が限られています。 HTTPウイルススキャンは実行可能ですが、それを超えると非常に高速になります。
ポート53のブロックに関する200_successの提案を取り入れないでください。これは、あまりにも多くのデバッグケースをブロックし、役に立たないため、DNSを介したsshをブロックしません。代わりに、クライアントを正しく構成して監視します。直接送信が多すぎて手動のDig/nslookupエントリにならない場合は、調査してください。
本当に危険度の高いリストを検討した1つのケースでは、完全なホワイトリストに切り替えて、独自の内部DHCP、DNS、SQL、ファイル、およびプリントサーバーを除くすべてのホストをブロックし、リストを取得するのが最善のアプローチであると判断しました2つに話をする必要があります。
技術的な詳細については、他の部分よりも心配しているようです。基本的なゴールデンファイアウォールルールに加えて、入力ネットワークと出力ネットワークをブロックするために、他のルールを適切に評価する必要があります。
@Stephaneが投稿したように、ファイアウォールポリシーを処理するときに何を保護するかを特定する必要があります。
何があなたのスタンスに影響を与えるか、どのレベルのセキュリティが必要になるか、そしてそれを首尾よく実行する能力を特定することは最も重要です。
考慮すべきいくつかの要因:
通常、このネットワークのほとんどは、通常のネットワークからのアクセスは想定されておらず、外部からのアクセスは想定されていません。せいぜい、プロキシと通信してソフトウェアアップデートにアクセスしたり、内部DNS/NTPサーバーと通信したりできます。
これは、企業のVPN、DNS、SMTP、およびプロキシサーバーになります。彼らはインターネットへの直接の、いくぶん制限されたアクセスを持ちます。
WWWサーバー、または外部に提供されるその他のサービス。必要なサービスのみを開いてください。
例として、大学では、学生寮には教授陣のネットワークとは異なる要件があります。
たとえば、人事、財務、業務は他のネットワークから隔離する必要があります。これらの部門の一部は、インターネットの使用についてより制限されたポリシーを持っている必要があります。
一部の場所では、インターネットへのフルアクセスを提供するという政治だけがあり、他の場所では、インターネットは勤務時間外でもフルアクセスを持つと定義している一方で、他の場所では他の種類の制限を定義している場合があります。
たとえば、教育業界では制限が最も少ないと予想されますが、ISPではさらに少ないですが帯域幅の上限がありますが、バンキングでは何が入るか、何が出るかが非常に制限されます。
ただし、顧客向けのサービスと、異なる文化やルールが適用される企業ネットワークとの区別(および分離)を失うことのないようにする必要がしばしばあります。
伝統と獲得した権利は、あなたが達成できることに非常に強い役割を果たすと言うのは反対です。
セキュリティ、ユーザーのニーズ/要望、サービスの品質のバランスは常に微妙なものであり、妥協が必要です。たとえば、非常にオープンな環境では、voIPおよびHTTP/Sサービスに干渉すると、p2pを使用するという期待に応えられない場合があります。
特定のタイプのログをX回保持する必要がある場合があります。あなたはいくつかのプロトコル、すなわちビットトレントをカットする必要があるかもしれません(大きなプレーヤーのいくつかのファイアウォールにはすでにDPIが付属しています)。
言うまでもなく、効果的なファイアウォールポリシーを効果的に確立するには、ネットワーク内で何が起こっているかを知る必要があり、すべてが文書化されている場合です。サービスを監査します。ビッグネームのプレイヤーは、セールの採点の可能性を知っていれば喜んでお手伝いします。
最後に、上級管理職が完全にサポートするプロセス、および許可または削減する必要がある決定のほとんどは、彼らによって承認される必要があります。
コスト、リソース、リクエスト/ニーズの制限は、上記のすべてのポイントの決定、および使用するテクノロジーに影響します。
主に技術分野のペースの速い世界では、技術的な側面に焦点を当てると、使用している可能性のある戦略や決定の一部は、時代遅れになる可能性があります。例として、VPNや暗号化が個人的に使用されるように広まったために、機能がすぐに損なわれるソリューションを販売しようとしているベンダーもあります。