web-dev-qa-db-ja.com

LANからインターネットへの匿名アクセスを許可することに関連するリスクは何ですか?

ISA Server 2004とハードウェアファイアウォールを介してインターネットにアクセスできる約60人のユーザーのネットワークがあります。もちろん、外の世界への匿名の要求は常にブロックしています。

特定のウェブサイトからデータを検索する必要がある新しいソフトウェアをインストールしています。それが機能する唯一の方法は、ファイアウォールを介した匿名リクエストの送信を許可することです。

私は大きなリスクを冒していますか、それとも過去に過度に用心深くなりましたか?

1
Marko Carter

ISA Webプロキシの認証機能を使用してWebサイトへのユーザーアクセスを認証しているようです。これで、プロキシ認証を処理できないソフトウェアができました。そのため、プロキシに対応していないソフトウェアがアクセスしたいサイトへの匿名アクセスを中断して許可する必要があります。

私の考えでは、サイトに「プロキシ」または「プロキシのような」機能(Google翻訳やGoogleキャッシュなど)がないと仮定して、単一のサイトへの匿名HTTPアクセスを開くことはおそらくそうではありません。非常に大したことです。

ソフトウェアが実際にクライアントコンピューターで実行されており、ユーザーごとの認証があると判断された場合は、Microsoftファイアウォールクライアントをクライアントコンピューターに展開することを検討してください。ファイアウォールクライアントはWindowsSockets APIに組み込まれ(これはかなり巧妙なトリックです)、ユーザーごとの承認とTCP接続を介したISAサーバー)の監査を可能にしますクライアントコンピューターから。すべての認証はソケットレイヤーで行われるため、HTTPプロキシ認証は行われません。

0
Evan Anderson

はい、これはリスクです。悪意のあるユーザーが接続を使用してスパムを送信する可能性があります。これは、発信tcp 25(smtp)およびtcp 465(smtps)をブロックすることで回避できます。数年前、ワーム(ブラスターなど)がポートtcp 445をスキャンし、Windows dcom/rpcの多くの脆弱性の1つを使用して拡散することが非常に一般的でした。これにより、排除措置(C&D)命令がお客様に対して提出される可能性があります。別のケースでは、悪意のあるハッカーがあなたの接続を使用して安全に攻撃を実行する可能性があります。または、別のシナリオは、悪意のあるハッカーが国防総省が所有するIP範囲を意図的にスキャンし、数日以内にインターネット接続がオフになる可能性があることです。これは、厄介なサービス拒否攻撃です。

0
Rook