A kimenő forgalom blokkolása általában előnyös annak korlátozásában, hogy a támadók mit tehetnek, miután megsértették a hálózaton lévő rendszert.

Például, ha sikerült rosszindulatú programokat juttatni egy rendszerre ( fertőzött e-mailen vagy böngészőoldalon keresztül), a kártevő megpróbálhat „hazahívni” egy internetes parancs- és vezérlőrendszert, hogy további kódot töltsön le, vagy fogadjon el feladatokat egy irányító rendszerből (pl. spam küldése) >

A kimenő forgalom blokkolása megakadályozhatja ennek bekövetkezését, tehát nem annyira megakadályozza a fertőzést, mint inkább a rosszabbá tételét, amikor megtörténik.

Lehet, hogy túlterheli az otthoni hálózatot. sok olyan program, amely kimenő kapcsolatokat hoz létre, és egy kis időt kell töltenie az összes kivétel beállításával.

Biztonsági szerepből származik, különösen, ha valaha is részt vett az események elhárításában, a kimenő szűrés gondolata természetes útnak tűnik a magas biztonsági környezetben. Ez azonban nagyon nagy és összetett vállalkozás. Említse meg a "kijutási szűrés" szavakat egy tűzfalnak, a hálózatnak vagy a rendszergazdának, és valószínűleg megkapja ezt a választ.

Tehát bár tudjuk, hogy magas szintű biztonsági környezetek szükség lehet erre, és ez indokolttá tenné a többletmunkát, néha nehéz lehet a részvétel. Különösen akkor, ha az egységet, amelynek elsődleges feladata az üzemidő fenntartása, hirtelen arra kérik, hogy vállaljon potenciálisan jelentős mennyiségű extra karbantartást annak érdekében, hogy olyan dolgot hajtson végre, amely nagy valószínűséggel csökkenti az üzemidőt.

Ebben az esetben remisszének lennénk. hogy ne említsem a megfelelési szöget. Nézzük meg egy pillanatra a PCI-DSS v2.0 verziót. A követelmények 1. szakasz a rendszereket és a hálózat biztonságát tárgyalja. Ez itt releváns:

1.3.5

Ne engedélyezze a jogosulatlan kimenő forgalmat a kártyatulajdonos adatkörnyezetéből az Internet felé.

Bármennyire is szeretnénk arról beszélni, hogy a „Megfelelés kiindulópont” a való világban, néha az egyetlen vonzerő, amelyet megszerezhetünk az a cél, hogy kitöltsük ezt a jelölőnégyzetet vagy átadjuk az ellenőrzést. Hasznos lehet az Ön szakterületére vagy szolgáltatására vonatkozó megfelelőségi dokumentumok megnézése. Míg a PCI-DSS kizárólag iparági követelmény, amelyet a szerződési törvény elfogadott, ez egy meglehetősen specifikus követelményrendszer, amelyet úgy láttam, hogy olyan szabványként fogadtam el, amelynek ellenőrzése más, kevésbé jól meghatározott követelményekkel rendelkező helyeken történik.

Hacsak nem blokkolja az összes kimenő forgalmat, kivéve a meglátogatott törvényes webhelyek engedélyezőlistáját (és / vagy nem használ egy olyan proxyt, amely engedélyezőlistát és biztonsági ellenőrzést végez), a 80/443 kivételével az összes port blokkolásával kevés további biztonság érhető el. Nos, a 25-ös port blokkolása jó lehet, ha megakadályozza, hogy hálózatát spam küldésére használják.

Sok botnet már HTTP-n keresztül kommunikál, hogy csatlakozzon a parancs / vezérlő hálózathoz, mivel tudják, hogy más portok is blokkolhatók ( egyesek még a DNS-t is használják parancs / vezérlő protokollként). Tehát, ha hagyja, hogy a hálózata bármely HTTP szerverhez csatlakozzon, akkor nem nyújt sok további védelmet magának a botnethez való csatlakozással szemben, és folyamatosan problémákba ütközik, amikor megpróbál olyan dolgokat futtatni, amelyek más portokat használnak, például: VPN, videokonferencia, online játékok, nem szabványos portokon lévő webhelyek, FTP stb. És valóban rendszeresen ellenőriznie kell a naplókat a fertőzés jeleinek keresése érdekében.

Valószínűleg nem éri meg a fáradságot otthoni hálózat. Valószínűleg jobban jársz, ha elsősorban a rosszindulatú programok megakadályozására fordítasz időt, mint a fertőzés után a károk enyhítésére.

A bejövő forgalom blokkolása csak megakadályozhatja a kéretlen forgalom elérését a belső hálózatában. Ha azonban egy belső gépen rosszindulatú programokat talál (egy nem megbízható futtatható fájl futtatásával vagy egy kihasználás révén), akkor is eltalálhatja.

A kimenő forgalom blokkolása csökkenti a károkat, megakadályozva, hogy a rosszindulatú programok csatlakozzanak a számítógéphez. parancs & vezérlő kiszolgáló vagy adatok kiszűrése. Noha a gépe még mindig veszélybe kerül, ez megmenthet attól, hogy személyes adatait egy billentyűzár ellopja.

Két ok:

1. Abban az esetben, ha rosszindulatú program jut be a hálózatába, a kimenő forgalom blokkolása néha magában foglalhatja a kárt, mivel megakadályozza, hogy a rosszindulatú program kapcsolatba lépjen egy távoli szerverrel. Ha tűzfalat gépi szinten tart, akkor megakadályozhatja a rosszindulatú programok továbbterjedését a hálózaton keresztül is. A kimenő forgalom tiltása azt is jelenti, hogy a gépe kevésbé lesz érdekes a botnet részeként.
2. A hálózati képességekkel rendelkező törvényes szoftverek sérülékenyek lehetnek, és rá lehet csapni, hogy kimenő kapcsolatokat hozzanak létre, amelyekkel ezután tovább veszélyeztethetik a számítógépet. rendszer. Vegyünk például egy webkiszolgálót, amely olyan hibát futtató alkalmazást futtat, amely lehetővé teszi a támadó számára, hogy helyi fájlok megnyitása helyett az interneten keresztül töltse le a fájlokat (ilyen hibát könnyen elő lehet állítani, és figyelmen kívül lehet hagyni például a PHP-ben). . Ha megfelelően tűzfalra van állítva, akkor a kérés egyszerűen sikertelen lesz, és talán riasztást is kivált valahol.

A kompromisszum utáni kárellenőrzésen túl a következőkre is szükség lehet:

• Annak ellenőrzése, hogy (és hogy a hálózaton belüli felhasználók és folyamatok hogyan használják az internetet

• Figyelje a belső folyamatokat a rosszindulatú programok észlelésére ("passzív sebezhetőség vizsgálata")

A kimenő DNS-lekérdezések blokkolása annak érdekében, hogy a DNS-t csak az Ön által preferált DNS-kiszolgálón (vállalati DNS-kiszolgáló, OpenDNS, Quad9, Google Public DNS stb.) keresztül lehessen továbbítani, meglehetősen általános dolog egy olyan hálózaton, amelyet némileg védettek.

Az US-CERT informatív cikkel rendelkezik erről, és felsorolja a nem ennek a következményeit:

Hacsak nem kerületi technikai megoldások kezelik, az ügyfélrendszerek és alkalmazások a vállalati adminisztratív ellenőrzésen kívüli rendszerekhez csatlakozhatnak a DNS-feloldáshoz. A belső vállalati rendszerek csak engedélyezett vállalati DNS-gyorsítótárazó névkiszolgálókhoz kezdeményezhetnek válaszokat és válaszokat fogadhatnak tőlük. Az ügyfélrendszerek és alkalmazások közvetlen kapcsolódásának engedélyezése az internetes DNS-infrastruktúrához kockázatokat és hatástalanságot jelent a szervezet számára, amelyek a következőket tartalmazzák:

• Megkerült vállalati figyelés és a DNS-forgalom naplózása; ez a fajta megfigyelés fontos eszköz a potenciális rosszindulatú
  hálózati tevékenység észlelésében.
• a vállalati DNS biztonsági szűrési (süllyesztési / átirányítási vagy fekete lyuk / blokk) képességek megkerülése; ez lehetővé teheti az ügyfelek számára, hogy rosszindulatú domainekhez férjenek hozzá, amelyeket egyébként letiltanának.
• Ügyfél interakciója sérült vagy rosszindulatú DNS-kiszolgálókkal; ez pontatlan DNS-válaszokat okozhat a kért domainnél (például
  
  az adathalász webhelyre kerül, vagy rosszindulatú kódot szolgáltat).
• Elveszett védelem a DNS-gyorsítótár-mérgezés és a szolgáltatásmegtagadási támadások ellen. Az ilyen támadások megakadályozására használt rétegzett vagy hierarchikus (pl. Különálló belső és külső DNS-kiszolgálók, osztott DNS-ek stb.) DNS-architektúrájának enyhítő hatásai elvesznek.
• Csökkentett internetes böngészési sebesség, mivel a vállalati DNS-gyorsítótár nem használható.

https://www.us-cert.gov/ncas/alerts/TA15-240A

"kevés további biztonság érhető el az összes port blokkolásával, a 80/443 kivételével."

hacsak nem proxyt futtat az IP elrejtése érdekében, ami A webhelyről származó kód (vagy egy webhelybe injektálva) megkerülheti azáltal, hogy telefonál egy másik porton, és így megkerüli a proxyt (amelyet általában csak a kimenő forgalom átirányításához terveznek a böngészője által általában használt portokon).

Ez olyan egyszerű, hogy bárkinek, aki használja a Tor-ot, tisztában kell lennie vele, mivel egy lyuk lyukasztja át a Tor által biztosított maszkot.

Megoldás: Vigye az MINDEN portot a proxyn keresztül (Tor nem javasolja teljesítményvesztés miatt), vagy blokkoljon minden kimenő portot, kivéve azokat, amelyek kifejezetten a proxyn keresztül vannak továbbítva.

Az otthoni hálózatnál jobb megközelítés egy szoftveres „személyes tűzfal”, amely minden számítógépen fut, és felszólítja a felhasználót, hogy engedélyezzék-e egy kimenő kapcsolatot létesíteni próbáló program számára.

Ez, bár eleinte bosszantó, amikor mindenre felszólít, miközben megpróbálja kitalálni, mit szabad engedélyezni, könnyebben fenntartható otthoni környezetben, mint egy kimenő blokkolást végző hálózati tűzfal, amelynek fogalma nincs a különbség a Google Chrome weboldal-kérés és a LulzBot2000 (igen, én kitaláltam) között, amely webes kérelmet küld rosszindulatú programok hasznos terhelésére.

A világ jobb hely lehet, ha több otthoni útválasztó blokkolja a kimenő portok, például az STMP, az IRC stb. blokkolását. És ezek csak a fejem tetején vannak.

Éppen ide értem, miután megfordultam nagyjából minden, csak az ssh, a http és a https. Ez egy megelőző intézkedés, egy másik biztonsági réteg, de ebben az esetben megakadályozza, hogy a rossz szereplők a hálózatot támadásindító pontként használják.

Ennek ellenére jelenleg a hibakeresés, és bár a Linux kliensek (a fő Debian dobozom, valamint egy Debian netbook, a Debianot futtató belső név / fájl / nyomtató / idő kiszolgáló, a HestiaPi termosztát) mind jól működnek. Az androidos telefon azt nyafogja, hogy nincs internet (mert beállítom a DNS gyorsítótárát / szűrőjét is, majd az összes klienst ráirányítottam, ala PiHole), de eljuthatok olyan dolgokhoz, amelyeket használok (nagyjából webes és SSH).

A Roku egy másik történet; A YouTube, a Vimeo és még a Netflix is ​​jól működik, miután (ismét) Roku nyöszörgött, hogy nincs internet, mert nem hagyom, hogy kapcsolatba lépjen értékes hirdetésszervereivel (valaha először a hirdetések eltűntek a főképernyőn; Megpróbálom ezt legalább megtartani). De az Amazon és a Hoopla sem működik, és tekintettel arra, hogy holnap VPN-t kell indítanom a munka számítógépén, szinte biztosan visszalépek.

TL; DR - a kimenő szűrése jó ötlet. Legalább zárja le a kimenő kapcsolatokat minden olyan rossz dologgal, amelyet soha nem használ (telnet, R-parancsok stb.), És megfontoltan fontolja meg mások bezárását.

Amint azt mások már említették, a kimenő portok blokkolása minimálisra csökkenti a támadók által miután a gépet már megfertőzte. Vessünk egy pillantást az alábbi helyzetre:

1. A támadónak sikerül veszélyeztetnie a gépét egy RAT-tal (Távoli adminisztrációs eszköz)
2. A RAT általában úgy működik, hogy csatlakozik vissza a támadó gépéhez, hogy kommunikáljon vele, általában a RAT képes lenne szabadon kommunikálni a támadó gépével.
3. Tegyük fel, hogy az összes kimenő forgalmat blokkolta, a RAT már nem tud kommunikálni a támadó gépével . Ez lényegében használhatatlanná teszi a számítógépéről ellopott információkat.

Az, hogy leállította a RAT kommunikációját a támadó szerverével, nem jelenti az Ön biztonságát.

A RAT továbbra is képes módosítsa a fájlrendszert, lassítsa a gépet, attól függően, hogy mit csinál, érdemes megemlíteni, hogy ha a RAT-nak vannak privilégiumai, megváltoztathatja a tűzfal szabályait és engedélyezheti a kimenő forgalmat - lehetővé téve a kommunikációt a támadó szerverével.