ファイアウォールで発信ネットワークトラフィックをブロックする理由

セキュリティの役割から来て、特にインシデントレスポンスに関与したことがある場合、アウトバウンドフィルタリングのアイデアは、高セキュリティ環境では当然のように思えます。ただし、これは非常に大きく複雑な作業です。ファイアウォール、ネットワーク、またはシステム管理者に「出力フィルタリング」という言葉を挙げてください。そうすれば、おそらくこの応答が得られます。

したがって、高度なセキュリティ環境ではこれが必要になる場合があり、追加の作業が必要になることはわかっていますが、賛同を得ることは難しい場合があります。特に、稼働時間を維持することを主な任務とするユニットが突然、稼働時間を短縮する可能性が高い何かを達成するために、潜在的にかなりの量の追加の保守を引き受けるよう要求された場合。

この場合、コンプライアンス角度については言及しないことをお勧めします。 PCI-DSS v2.0を少し見てみましょう。要件セクション1では、システムとネットワークセキュリティについて説明します。これはここに関連しています：

1.3.5

カード会員データ環境からインターネットへの不正な送信トラフィックを許可しないでください。

私たち全員が現実の世界で「コンプライアンスは出発点」であることについて話したいのと同じくらい、時々私たちができる唯一の牽引力はgetの目標ですそのチェックボックスに記入するか、その監査に合格します。自分の分野やサービスに関連するコンプライアンスドキュメントを確認すると役立つ場合があります。 PCI-DSSは専ら業界の要件であり、契約法で合意されていますが、要件があまり明確に定義されていない他の場所で監査するための基準として採用したかなり具体的な要件のセットです。

アクセスする正当なWebサイトのホワイトリスト以外のすべての送信トラフィックをブロックしない限り（および/またはホワイトリストとセキュリティスキャンを実行するプロキシを使用しない限り）、80/443を除くすべてのポートをブロックすることで得られるセキュリティはほとんどありません。まあ、ポート25をブロックすることは、ネットワークがスパムの送信に使用されないようにするために良いかもしれません。

多くのボットネットは、他のポートがブロックされている可能性があることを知っているため（コマンドや制御プロトコルとしてDNSを使用している場合もある）、すでにHTTP経由で通信してコマンド/制御ネットワークに接続しています。したがって、ネットワークを任意のHTTPサーバーに接続させる場合は、ボットネットへの参加からの追加の保護を自分自身に与えておらず、他のポートを使用するものを実行しようとすると、継続的に問題が発生します。 VPN、ビデオ会議、オンラインゲーム、非標準ポート上のWebサイト、FTPなど。感染の兆候を探すためにログを定期的に監査する必要があります。

おそらく、ホームネットワークの面倒な価値はありません。感染した被害を軽減するよりも、そもそもマルウェアの感染を防ぐことに時間を費やす方がよいでしょう。

着信トラフィックのブロックは、一方的なトラフィックが内部ネットワークに到達するのを防ぐことしかできません。ただし、内部マシンで（信頼できない実行可能ファイルの実行やエクスプロイトを介して）マルウェアを取得した場合でも、攻撃を受ける可能性があります。

発信トラフィックをブロックすると、マルウェアがコマンド＆コントロールサーバーに接続したり、データを漏えいしたりするのを防ぐことができるため、被害を抑えることができます。お使いのマシンはまだ危険にさらされていますが、キーロガーによって個人情報が盗まれるのを防ぐことができます。

2つの理由：

1. マルウェアがネットワークに侵入した場合、発信トラフィックをブロックすることで、マルウェアがリモートサーバーに接続できないようにすることで、被害が及ぶことがあります。マシンレベルでファイアウォールを設定すると、マルウェアがネットワークを介してさらに広がるのを防ぐことができます。発信トラフィックを許可しないことは、ボットネットの一部としてのマシンの興味をそそることも意味します。
2. ネットワーク機能を備えた正規のソフトウェアは脆弱である可能性があり、だまされて送信接続をセットアップし、システムをさらに侵害するために使用される可能性があります。たとえば、ローカルファイルを開く代わりに、攻撃者がアプリケーションをだましてインターネット経由でファイルをダウンロードさせるような欠陥のあるアプリケーションを実行するWebサーバーを考えてみます（このような欠陥は簡単に生成され、たとえばPHPで見落とされます）。 。ファイアウォールを適切にオフにすると、リクエストは単純に失敗し、おそらくどこかでアラームがトリガーされます。

妥協後の損傷制御以外に、次のことも実行できます。

• ネットワーク内のユーザーとプロセスがインターネットを使用する方法（およびかどうか）を制御する

• 内部プロセスを監視してマルウェアを検出（「パッシブ脆弱性スキャン」）

送信DNSクエリをブロックして、優先DNSサーバー（エンタープライズDNSサーバー、OpenDNS、Quad9、GoogleパブリックDNSなど）を介してのみDNSをルーティングできるようにすることは、ある程度保護されたネットワークではかなり一般的です。

US-CERTにはこれに関する有益な記事があり、notの影響を示しています。

境界技術ソリューションで管理されていない限り、クライアントシステムとアプリケーションは、DNS解決のために企業の管理コントロールの外部にあるシステムに接続する場合があります。内部エンタープライズシステムは、承認されたエンタープライズDNSキャッシングネームサーバーへのリクエストの開始と、そこからのレスポンスの受信のみを許可されている必要があります。クライアントシステムとアプリケーションがインターネットDNSインフラストラクチャに直接接続することを許可すると、組織に次のようなリスクと非効率が生じます。

• DNSトラフィックのエンタープライズモニタリングとロギングをバイパス。このタイプの監視は、潜在的な悪意のあるものを検出するための重要なツールです
  ネットワーク活動。
• エンタープライズDNSセキュリティフィルタリング（シンクホール/リダイレクトまたはブラックホール/ブロック）機能のバイパス。これにより、クライアントは、ブロックされているはずの悪意のあるドメインにアクセスできます。
• 侵害されたDNSサーバーまたは悪意のあるDNSサーバーとのクライアントの相互作用。これにより、要求されたドメイン（たとえば、
  クライアントはフィッシングサイトに送信されるか、悪意のあるコードが配信されます）。
• DNSキャッシュポイズニングとサービス拒否攻撃に対する保護が失われました。階層型または階層型（内部DNSサーバーと外部DNSサーバーの分離、DNSの分割など）の緩和効果は、このような攻撃を防ぐために使用されていたDNSアーキテクチャが失われます。
• エンタープライズDNSキャッシュが利用されないため、インターネットの閲覧速度が低下しました。

https://www.us-cert.gov/ncas/alerts/TA15-240A

「80/443以外のすべてのポートをブロックすることで得られるセキュリティはほとんどありません。」

iPを偽装するためにプロキシを実行している場合を除いて、Webサイトからのコード（またはWebサイトに挿入されたコード）は、別のポートでホームに電話をかけることでバイパスできるため、プロキシをバイパスします（通常、発信を再ルーティングするためにのみ構成されます）ブラウザで通常使用されるポートのトラフィック）。

これは非常に単純なので、Torが提供するマスクを貫通して穴をあけるので、Torを使用する人は誰でもそれを知っている必要があります。

解決策：すべてのポートをプロキシ経由でルーティングするか（Torはパフォーマンスの低下のためお勧めしません）、または特にプロキシ経由でルーティングされるポートを除くすべての送信ポートをブロックします。

この考えはすべてのNSAと過去数か月のGCHQリークによって引き起こされます：ブロックしないでください-すべてのパケットを自分または他の誰かの信頼できるホストにリダイレクトして、さらに調査します。それがそれらを捕まえる唯一の方法。

ホームネットワークのより良いアプローチは、各PCで実行されるソフトウェア「パーソナルファイアウォール」であり、発信接続を確立しようとしているプログラムに許可するかどうかをユーザーに尋ねます。

これは、何が許可されるべきかを理解しようとするときにすべてを要求するときに最初は煩わしいものですが、Googleの違いの概念を持たないアウトバウンドブロッキングを実行するネットワークファイアウォールよりも家庭環境で維持する方が簡単ですChromeウェブページリクエストを作成し、LulzBot2000（はい、作成しました）がマルウェアペイロードのウェブリクエストを作成します。