web-dev-qa-db-ja.com

オフィスネットワークでの出力フィルタリング?

オフィスネットワークでは、ほとんどの企業が入口フィルタリングを使用してセキュリティのレベルを追加しますが、出口フィルタリングを利用してネットワークを保護する企業はほとんどありません。下りフィルタリングを使用すると、展開されるすべての新しいソフトウェアのポリシーを変更する必要があるため、もちろん一部のユーザーに問題が発生しますが、たとえばボットネットに対して提供する保護は、ほとんどの組織の追加管理のコストを上回りますか?

出力フィルタリングのメリットとデメリットは何ですか?特に中規模のソフトウェア開発ビジネスのネットワークを指す場合。


エリア51プロポーザルの質問から

13
Mark Davidson

PRO:ネットワークから移動するすべてのもの(厳密には、ネットワーク内で移動するもののほとんど)を厳密に制御します。
CON:ユーザーはコントロールを感じます。あなたが開発ビジネスであることを考えると、ユーザーはかなり技術的であり、おそらくそれを憤慨させるでしょう。
CON:あなたが開発事業であり、ユーザーがかなり技術的であることを考えると、彼らは仕事の過程で合法的に新しいプログラムをインストールする可能性があります(スカイプが許可されるまでどのくらいかかりましたか?) 、追跡し、フィルターを更新することは困難になります。
PRO:ユーザーは実質的に、インストールできる対象が制限されています:)
CON:マシンごとにこれを考慮しないでください。完全に無意味ではありませんが、バイパスする方がはるかに簡単です。
PRO:ご指摘のとおり、ボットネットやその他の無意識のマルウェアの特定の使用をブロックする可能性があります。
PRO:データ漏えい防止の(最初のステップとして)仮説的に支援できます。

BER-CON:ほとんどの悪意のあるシナリオでバイパスするのは簡単です開いているポート/プロトコル(これには多くの種類の適応ワームが含まれます)をトンネリングするだけですが、悪意のないケースでは、対処すべき本当の** tch。

結論:出力フィルタリングはcontrolを提供するのに非常に優れたツールですが、security

7
AviD

出力フィルタリングの主な利点は、スタッフとシステムが必要とする正当な送信トラフィックを理解する必要があることです。ただし、欠点は、その管理に時間と費用がかかることです。それが価値があるかどうかは、軽減している脅威がコストに見合う価値があるかどうかによって異なります。

出力フィルタリングをどのように行うかについては、エンドユーザーがインターネットに直接アクセスできず、すべての送信トラフィックがプロキシサーバーを経由する必要がある、主に大規模な企業であることがわかりました。

これには、すべてのユーザーのインターネットトラフィックが流れ、検査できるネットワークにチョークポイントを適用できるという利点があります。そのため、理論的には、この時点でIDS/IPS/DLPを導入して、どのコンテンツかを確認できます。ネットワークに出入りします。

もちろん、本当に効果的であるためには、すべてのSSLセッションを終了して再確​​立する必要があるため、コンテンツ検査を実行できます。

私が言ったように、主要な問題は、そのレベルのコストと追加の作業が特定の組織にとってそれだけの価値があるかどうかです。

6
Rory McCune

長所:

  • セキュリティの向上
  • ネットワークトラフィックの可視性の向上
  • 制御の向上

短所:

  • オーバーヘッドの増加++
  • 複雑さの増大

答えはイエスだと思いますが、それはすべてあなたの環境に依存します。少なくとも、組織は、サーバーへの入力トラフィックと出力トラフィックを制御するセグメント化されたネットワークを検討する必要があります。出力フィルタリングがバイパスするのは簡単なことではありません。適切に実装されている場合、出力フィルタリングは強力な防御層になる可能性があります。適切に実装されているということは、すべてがプロキシを経由することを意味します。例外は、既知の信頼できるエンドポイントにのみ許可する必要があります。

3
sdanelson

私は長所と短所がよく議論されていると思います、そしてここでの本当の問題へのすべての指摘は実際にデータ損失から保護することです。

ファイアウォールを使用して、適切な送信フィルタで他のユーザーから保護すると同時に、他のユーザーから(つまりワームの発生から)保護することに同意します。基本的に良い隣人政策が好きなら。

しかしながら、議論されたように、それらは組織からの情報を外部に漏らそうと考えているなら簡単に迂回できる鈍い道具です。

したがって、焦点はデータ損失から保護し、ファイアウォールをこのアプローチの1つのコンポーネントとして使用することです。組織は、ネットワークトラフィック自体の監視と傾向/例外/ボリュームを探す必要のある全体的な組織のDLP(データ損失保護)アプローチの一部として、発信トラフィックを監視する必要があります。

3
David Stubley

特にサーバー間の通信には、非常に事前に定義された通信パターンがあります。このトラフィックを許可するだけで、新しいソフトウェアを追加してサーバーを危険にさらすことがなくなり、セキュリティが向上します。

これを行うことによる短所は、これらのフィルターを維持するために必要な作業です。新しいソフトウェアが展開されたら開く必要があるだけでなく、sofwaterが不要になったとき、または変更されたときに必ず閉じる必要があります。

出力フィルターを使用すると、サーバーとソフトウェアで使用される通信チャネルについて学習し、知る必要があります。

3
Chris Dale

ほとんどの人が遭遇する問題は、DNSおよびHTTP/TLSの送信トラフィックのフローを防止する方法を設定することです。ファイアウォール(Palo Alto Networksなどの豪華なファイアウォールを含む)や安全なWebゲートウェイを使用するよりも、 Whitetrash をインストールする方が良いと確信しています。

WhitetrashなどのホワイトリストWebゲートウェイを使用していて、他のすべての送信トラフィックを阻止している場合でも、DNSの秘密チャネルについて心配する必要があります。最も簡単な方法は、送信接続のない内部DNSサーバーを用意することです。次に、Whitetrashを実行するSquidプロキシに、ホストインターネットDNSを実行させるか、インターネットDNSサーバーをホストする別のネットワークに接続させることです。ブラウザはプロキシ経由でDNSを取得します。はい、これは実際に機能しますが、ユーザーはHTTPまたはSSL以外のインターネットへのプロトコルトラフィックを使用できなくなります(プロキシを経由する必要があります)。 FTPとGopherも、Squidが許可するように構成されていれば機能すると思います。

これは接続するのにイライラするネットワークであり、抑圧的なinfosecポリシーを持つ最も厳しい環境でのみ可能です。

私はSSLトラフィックの検査のファンではありませんが、そうする場合は、ホワイトリストを使用して銀行などを検査しないようにしてください。 Whitetrashを使用している場合、おそらく、とにかく管理するための広範なリストを既に持っているでしょう。

0
atdre