The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Нужно ли блокировать порты для исходящих соединений?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Квоты, ограничения / Другая система)
Изначальное сообщение [ Отслеживать ]

"Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от Technocrat email(ok) on 08-Июл-13, 13:23 
По-умолчанию закрыл в организации все исходящие порты, кроме нескольких требуемых, но все чаще сталкиваюсь с ситуацией, когда сайты используют нестандартные порты и их приходится открывать вручную, из-за чего растут конфиги, появляется путаница.
Насколько вообще актуальна подобная практика? Может быть стоит оставить закрытыми только DNS, SMTP и еще несколько, а все остальное разрешить? Или разрешить все порты с номерами, скажем, выше 1000? Какие опасности может представлять такой шаг?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Нужно ли блокировать порты для исходящих соединений?"  +2 +/
Сообщение от PavelR (ok) on 08-Июл-13, 13:35 
> По-умолчанию закрыл в организации все исходящие порты, кроме нескольких требуемых, но все
> чаще сталкиваюсь с ситуацией, когда сайты используют нестандартные порты и их
> приходится открывать вручную, из-за чего растут конфиги, появляется путаница.
> Насколько вообще актуальна подобная практика? Может быть стоит оставить закрытыми только
> DNS, SMTP и еще несколько, а все остальное разрешить? Или разрешить
> все порты с номерами, скажем, выше 1000? Какие опасности может представлять
> такой шаг?

_любой_ открытый порт может "использоваться нестандартно", например для _исходящего_ управляющего соединения от "бота" к командному центру. Фактически, что один порт открыт, что несколько - канал уже может быть создан.

С другой стороны, закрыть исходящий 25 порт - и с вас уже 99,9(9)% не может идти рассылка спама, ну и 6669-like порты теоретически полезно позакрывать :-)

Насколько это полезно практически - решать вам. )

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Нужно ли блокировать порты для исходящих соединений?"  –1 +/
Сообщение от parad (ok) on 10-Июл-13, 15:07 
- во. выкопал ямку. работу сделал.
- а зачем ты ее выкопал?
- хрен его знает.

ты цели сформулируй. тогда и ответ на вопрос получишь - нужно ли закрывать и какие. вон пашаР уже в подорвался за тебя цели искать. только он совершил ошибку - начал искать цели под сделанную работу.
ты такую же ошибку не совершай - вначале распиши что ты хочешь сделать, что защитить и лишь потом( если только придешь что решение - это блочить ) напиши список конкретных портов исходя из поставленных целей. тогда и про обслуживание фаервола можно будет на долго забыть.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Нужно ли блокировать порты для исходящих соединений?"  +1 +/
Сообщение от mr_noname (ok) on 15-Июл-13, 10:51 
> сайты используют нестандартные порты

Сайты? В смысле именно web? Или речь идёт о каком-то специализированном софте всё-таки? Типа сдачи отчётности, или ещё какой хрени.
Если речь идёт о web, то логично рулить всем через прокси, а не пускать напрямую юзеров.
Если второй вариант, то правило "запрещено всё, что не разрешено явно" как было лучшей практикой, так и осталось.

> Какие опасности может представлять такой шаг?

Куча работающего через нестандартные порты софта? Мэйлагенты, скайпы, etc.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от Technocrat email(ok) on 15-Июл-13, 11:22 
>> сайты используют нестандартные порты
> Сайты? В смысле именно web? Или речь идёт о каком-то специализированном софте
> всё-таки? Типа сдачи отчётности, или ещё какой хрени.
> Если речь идёт о web, то логично рулить всем через прокси, а
> не пускать напрямую юзеров.

Да, именно web. Для отчетности не влом и руками порт открыть, такое бывает раз-два в год. Но иногда попадаются сайты, внутренние страницы вдруг с какого-то перепугу выдаются, скажем, через порт 7777, или 8082. Прописывать каждый порт вручную напряжно, так и тянет открыть диапазон пошире.

>> Какие опасности может представлять такой шаг?
> Куча работающего через нестандартные порты софта? Мэйлагенты, скайпы, etc.

У нас вобщем-то запретов немного - HTTP (напрямую), DNS и SMTP. Аськи и скайпы разрешены. От утечек информации только закрытие портов, как я понимаю, все равно не поможет, вот и рождается вопрос - еще какие-то угрозы возможны, если я открою, скажем, все порты выше 1000.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от parad (ok) on 16-Июл-13, 17:46 
ты походу не обладаешь логикой: блокируешь исходящие соединения которые может установить злоумышленник из внутренней сети. а установить он их может, только тогда, когда он уже проник в сеть( неважно каким способом ). хоть с одним открытым портом информация будет слита.

сам не чуешь несовпадение целей и средств?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от Technocrat email(??) on 16-Июл-13, 20:03 
> ты походу не обладаешь логикой: блокируешь исходящие соединения которые может установить
> злоумышленник из внутренней сети. а установить он их может, только тогда,
> когда он уже проник в сеть( неважно каким способом ). хоть
> с одним открытым портом информация будет слита.
> сам не чуешь несовпадение целей и средств?

Не хами. Я это понимаю, поэтому и спрашиваю, какие ЕЩЕ могут быть угрозы.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от parad (ok) on 17-Июл-13, 23:03 
> Не хами.

а чего с тобой делать - сюсюкаться? ты даже не знаешь для каких целей позакрывал порты. и просишь сообщество найти смысл сделанной работе. из всего что ты показал, - полезное только закрытие 25 порта. остальное все бред и никаким образом не связано с безопасностью.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от Zerg (??) on 20-Июл-13, 07:45 
Можно в эту тему подобный вопрос по исходящим портам написать? Имеется домашний компьютер с игрой Teeworlds и торрент-клиентом qBittorrent, что в итоге требуется большой диапазон открытых исходящих портов. Запустил Wireshark и решил посмотреть, какие порты используются - множество.

Поискав в поиске нашёл список опасных портов и закрыл их через простенький межсетевой экран с графическим интерфейсом - gufw. Возможны ли какие-нибудь угрозы безопасности? Все остальные порты открыты.

Делюсь ссылкой, по которой закрывал порты:
http://www.agnitum.ru/support/kb/article.php?id=1000242&lang=ru

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от parad (ok) on 20-Июл-13, 10:59 
еще один. 80 не забыл?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от Zerg (??) on 21-Июл-13, 01:41 
Ну так выход в этой ситуации - отказаться от игры Teeworlds и не стоять на раздачах, оставив при этом открытыми только исходящие порты 80 и 443? :)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от parad (ok) on 22-Июл-13, 12:38 
выход в этой ситуации - выдернуть сетевой шнурок. 99.9% злостного по работает по хттп.
все кто пытается защититься закрытием исходящих подключений - олухи. все кто пытается убедить что нужно блокировать исходящие соединения - менеджеры по продажам или тоже олухи.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от Zerg (??) on 23-Июл-13, 07:20 
Ладно, большое спасибо за ответ. Оставлю все исходящие открытыми, но некоторые исходящие по той ссылке прикрою на всякий случай, всё равно не используются.

Если ещё какую-нибудь полезную информацию найду (вроде того списка с портами), то скину сюда.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от Аноним (??) on 24-Июл-13, 05:46 
Чойта?
Я вот оставил *:80 *:443
Остальное по запросу и на конкретный IP - и не жжжжжжууужжжжу .
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от parad (ok) on 25-Июл-13, 15:23 
ну ты явно с целью погадить своим пользователям и никак не с целью защиты.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Нужно ли блокировать порты для исходящих соединений?"  +/
Сообщение от ivanr email(??) on 26-Июл-13, 18:35 
> ну ты явно с целью погадить своим пользователям и никак не с
> целью защиты.

ну а с целью защиты вообще какие порты надо закрывать (исходящие) может вообще не надо???
раз вредоносное по уже проникло, выходит закрытый порт только усугубит ситуацию, так хотябо по косвеннным признакам можно определить, что внутри какая-то зараза, типа на гугле забанили, значит я спам шлю, значит надо предпринять какие-то действия по обеспечению безопсности, а так, если закрыл, то и не узнаешь, что ты потенциальный спамер.

может вообще-то разумнее не закрывать исходящие порты, это и правда сравнительно бессмысленно, а просто логировать подозрительные исходящие коннекшены?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру