web-dev-qa-db-ja.com

発信接続のホワイトリストはどのように作成する必要がありますか?

私の以前の質問ファイアウォールで発信ネットワークトラフィックをブロックする理由 の複製として閉じられました。誰もが同意する回答には、発信接続をブロックすることの価値が記載されていますが(悪意のあるソフトウェアのcall-home-and-get-additional-instructions機能を制限するため)、次のようなポートホワイトリストを使用することの効果はそれほどではありませんHTTPおよびHTTPS。この新しい質問は、その領域での追加の注意を要求します。

当然、着信接続はブロックする必要があります。 (アドレスとポートの組み合わせのホワイトリストを除く-たとえば、ネットワークでWebサーバーを実行している場合)

要件:Webブラウジングを許可することが必須であると想定(HTTPSとHTTPおよびDNSを開いたままにする)...これは以下の分析で正しいですか? (以下のすべてはIPアドレスのホワイトリストを除いてであることを思い出してください。これはDNSおよびSMTPのブロックには役立ちますが、HTTPおよびHTTPSのブロックには受け入れられません)

  • SMTPを制限するには、重要な実際の値があります。
  • 制限付きDNS少し実際の値を持ちます。
  • ポートの(= /// =)someホワイトリストを持ち、他のすべてをブロックするにはいくつかの実際の値なので、ポートを「構成する」だけのボットライターは成功しません。
  • 追加のポートを開くことは、一度に1つずつのセキュリティリスクではありません。すでにHTTP/HTTPSを開いている場合は、NTP、FTP、WHOISなどを制限しても、測定可能な利点は得られません。
  • HTTP/HTTPSを使用する前にプロキシを要求することは、を有効にする唯一の実際の方法(上記の要件を満たしている)です実際の値、特にコンピューター全体のレベル(最初の場所のa)の代わりにブラウザーレベルでプロキシを構成した場合(2番目または3番目の場所でボットがプロキシ設定を探す)ボットはプロキシ設定を探します)。 (Windows自動更新用のアドレスのホワイトリストを追加して、それらにプロキシが必要ないようにする必要がある場合があります)

この分析に不正確な点はありますか?この分析にはもっとあるべきですか?

firewallsports
5
Bryan Field

ネットワークリソースにアクセスできる実行可能ファイルを設定できるオペレーティングシステムでは、ファイアウォールを使用することをお勧めします。そこで、たとえば、firefox.exe、windows update、windows time同期プロセスのみにアクセスを許可することができます。残りはブロックしてログに記録します。 Windows 7で提供される高度なファイアウォールはこれをサポートします。さらに、公式に提供されているAppLockerを使用して、実行を許可する実行可能ファイルとDLLを設定できます。デフォルトのポリシーでは、書き込みに管理者権限が必要なProgramFilesおよびWindowsディレクトリのすべてを許可します。

ネットワークファイアウォールは、セットアップしているもの(おそらく)と同様、粗雑なツールです。それは、川のダムを使用して家の水圧を調整しようとするようなものです。彼らには用途がありますが、忘れないでください:

ハンマーさえあれば、すべて釘のように見えます。

1
Matrix

私の意見では、これはかなりよく丸められた分析ですが、改善を使用できるいくつかのポイントがあります。

基本的な双方向ファイアウォールは適切な出発点ですが、実際のアプリケーションレベルのトラフィックにアクセスする能力がない限り-HTTPプロキシアプリケーションレベルのファイアウォールまたはそれが何であるかにかかわらず-まだセキュリティに大きな穴があります。

今日のファイアウォールの多く-アプリケーションレベルの分析を宣伝するファイアウォールも-すべてのプロトコルに対してアプリケーションレベルのフィルタリングを行わないでください。悪意のある原因に共通のポート番号を選択することは、強化されたファイアウォールを回避するためのかなり簡単な方法です。できる限り、準一般的なプロトコルであっても、常に定義をホワイトリストに登録することをお勧めします。

例として、以前にTCPサービスを、外部ホストのポート123にバインドして実験しました。保護された内部ネットワークからアクセスできたことに驚きました追加のファイアウォールルールなし。NTP定義にはUDPポートとTCPポートの両方が含まれており、どこにでも許可されていました。

HTTP、HTTPS、FTP、SMTP以外のプロトコルは使用しません。これらのそれぞれには、私のクライアント用に構成された、ある種のアプリケーションレベルフィルターが用意されています。

編集:

この変化するすべての用語は、私を古く感じさせています。私が考えているデバイスに推奨される用語は、UTM(Unified Threat Management)ゲートウェイのようです。

1
Tim Brigham