URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5166
[ Назад ]

Исходное сообщение
"Нужно ли блокировать порты для исходящих соединений?"

Отправлено Technocrat , 08-Июл-13 13:23 
По-умолчанию закрыл в организации все исходящие порты, кроме нескольких требуемых, но все чаще сталкиваюсь с ситуацией, когда сайты используют нестандартные порты и их приходится открывать вручную, из-за чего растут конфиги, появляется путаница.
Насколько вообще актуальна подобная практика? Может быть стоит оставить закрытыми только DNS, SMTP и еще несколько, а все остальное разрешить? Или разрешить все порты с номерами, скажем, выше 1000? Какие опасности может представлять такой шаг?

Содержание

Сообщения в этом обсуждении
"Нужно ли блокировать порты для исходящих соединений?"
Отправлено PavelR , 08-Июл-13 13:35 
> По-умолчанию закрыл в организации все исходящие порты, кроме нескольких требуемых, но все
> чаще сталкиваюсь с ситуацией, когда сайты используют нестандартные порты и их
> приходится открывать вручную, из-за чего растут конфиги, появляется путаница.
> Насколько вообще актуальна подобная практика? Может быть стоит оставить закрытыми только
> DNS, SMTP и еще несколько, а все остальное разрешить? Или разрешить
> все порты с номерами, скажем, выше 1000? Какие опасности может представлять
> такой шаг?

_любой_ открытый порт может "использоваться нестандартно", например для _исходящего_ управляющего соединения от "бота" к командному центру. Фактически, что один порт открыт, что несколько - канал уже может быть создан.

С другой стороны, закрыть исходящий 25 порт - и с вас уже 99,9(9)% не может идти рассылка спама, ну и 6669-like порты теоретически полезно позакрывать :-)

Насколько это полезно практически - решать вам. )


"Нужно ли блокировать порты для исходящих соединений?"
Отправлено parad , 10-Июл-13 15:07 
- во. выкопал ямку. работу сделал.
- а зачем ты ее выкопал?
- хрен его знает.

ты цели сформулируй. тогда и ответ на вопрос получишь - нужно ли закрывать и какие. вон пашаР уже в подорвался за тебя цели искать. только он совершил ошибку - начал искать цели под сделанную работу.
ты такую же ошибку не совершай - вначале распиши что ты хочешь сделать, что защитить и лишь потом( если только придешь что решение - это блочить ) напиши список конкретных портов исходя из поставленных целей. тогда и про обслуживание фаервола можно будет на долго забыть.


"Нужно ли блокировать порты для исходящих соединений?"
Отправлено mr_noname , 15-Июл-13 10:51 
> сайты используют нестандартные порты

Сайты? В смысле именно web? Или речь идёт о каком-то специализированном софте всё-таки? Типа сдачи отчётности, или ещё какой хрени.
Если речь идёт о web, то логично рулить всем через прокси, а не пускать напрямую юзеров.
Если второй вариант, то правило "запрещено всё, что не разрешено явно" как было лучшей практикой, так и осталось.

> Какие опасности может представлять такой шаг?

Куча работающего через нестандартные порты софта? Мэйлагенты, скайпы, etc.


"Нужно ли блокировать порты для исходящих соединений?"
Отправлено Technocrat , 15-Июл-13 11:22 
>> сайты используют нестандартные порты
> Сайты? В смысле именно web? Или речь идёт о каком-то специализированном софте
> всё-таки? Типа сдачи отчётности, или ещё какой хрени.
> Если речь идёт о web, то логично рулить всем через прокси, а
> не пускать напрямую юзеров.

Да, именно web. Для отчетности не влом и руками порт открыть, такое бывает раз-два в год. Но иногда попадаются сайты, внутренние страницы вдруг с какого-то перепугу выдаются, скажем, через порт 7777, или 8082. Прописывать каждый порт вручную напряжно, так и тянет открыть диапазон пошире.

>> Какие опасности может представлять такой шаг?
> Куча работающего через нестандартные порты софта? Мэйлагенты, скайпы, etc.

У нас вобщем-то запретов немного - HTTP (напрямую), DNS и SMTP. Аськи и скайпы разрешены. От утечек информации только закрытие портов, как я понимаю, все равно не поможет, вот и рождается вопрос - еще какие-то угрозы возможны, если я открою, скажем, все порты выше 1000.


"Нужно ли блокировать порты для исходящих соединений?"
Отправлено parad , 16-Июл-13 17:46 
ты походу не обладаешь логикой: блокируешь исходящие соединения которые может установить злоумышленник из внутренней сети. а установить он их может, только тогда, когда он уже проник в сеть( неважно каким способом ). хоть с одним открытым портом информация будет слита.

сам не чуешь несовпадение целей и средств?


"Нужно ли блокировать порты для исходящих соединений?"
Отправлено Technocrat , 16-Июл-13 20:03 
> ты походу не обладаешь логикой: блокируешь исходящие соединения которые может установить
> злоумышленник из внутренней сети. а установить он их может, только тогда,
> когда он уже проник в сеть( неважно каким способом ). хоть
> с одним открытым портом информация будет слита.
> сам не чуешь несовпадение целей и средств?

Не хами. Я это понимаю, поэтому и спрашиваю, какие ЕЩЕ могут быть угрозы.


"Нужно ли блокировать порты для исходящих соединений?"
Отправлено parad , 17-Июл-13 23:03 
> Не хами.

а чего с тобой делать - сюсюкаться? ты даже не знаешь для каких целей позакрывал порты. и просишь сообщество найти смысл сделанной работе. из всего что ты показал, - полезное только закрытие 25 порта. остальное все бред и никаким образом не связано с безопасностью.


"Нужно ли блокировать порты для исходящих соединений?"
Отправлено Zerg , 20-Июл-13 07:45 
Можно в эту тему подобный вопрос по исходящим портам написать? Имеется домашний компьютер с игрой Teeworlds и торрент-клиентом qBittorrent, что в итоге требуется большой диапазон открытых исходящих портов. Запустил Wireshark и решил посмотреть, какие порты используются - множество.

Поискав в поиске нашёл список опасных портов и закрыл их через простенький межсетевой экран с графическим интерфейсом - gufw. Возможны ли какие-нибудь угрозы безопасности? Все остальные порты открыты.

Делюсь ссылкой, по которой закрывал порты:
http://www.agnitum.ru/support/kb/article.php?id=1000242&lang=ru


"Нужно ли блокировать порты для исходящих соединений?"
Отправлено parad , 20-Июл-13 10:59 
еще один. 80 не забыл?

"Нужно ли блокировать порты для исходящих соединений?"
Отправлено Zerg , 21-Июл-13 01:41 
Ну так выход в этой ситуации - отказаться от игры Teeworlds и не стоять на раздачах, оставив при этом открытыми только исходящие порты 80 и 443? :)


"Нужно ли блокировать порты для исходящих соединений?"
Отправлено parad , 22-Июл-13 12:38 
выход в этой ситуации - выдернуть сетевой шнурок. 99.9% злостного по работает по хттп.
все кто пытается защититься закрытием исходящих подключений - олухи. все кто пытается убедить что нужно блокировать исходящие соединения - менеджеры по продажам или тоже олухи.

"Нужно ли блокировать порты для исходящих соединений?"
Отправлено Zerg , 23-Июл-13 07:20 
Ладно, большое спасибо за ответ. Оставлю все исходящие открытыми, но некоторые исходящие по той ссылке прикрою на всякий случай, всё равно не используются.

Если ещё какую-нибудь полезную информацию найду (вроде того списка с портами), то скину сюда.


"Нужно ли блокировать порты для исходящих соединений?"
Отправлено Аноним , 24-Июл-13 05:46 
Чойта?
Я вот оставил *:80 *:443
Остальное по запросу и на конкретный IP - и не жжжжжжууужжжжу .

"Нужно ли блокировать порты для исходящих соединений?"
Отправлено parad , 25-Июл-13 15:23 
ну ты явно с целью погадить своим пользователям и никак не с целью защиты.

"Нужно ли блокировать порты для исходящих соединений?"
Отправлено ivanr , 26-Июл-13 18:35 
> ну ты явно с целью погадить своим пользователям и никак не с
> целью защиты.

ну а с целью защиты вообще какие порты надо закрывать (исходящие) может вообще не надо???
раз вредоносное по уже проникло, выходит закрытый порт только усугубит ситуацию, так хотябо по косвеннным признакам можно определить, что внутри какая-то зараза, типа на гугле забанили, значит я спам шлю, значит надо предпринять какие-то действия по обеспечению безопсности, а так, если закрыл, то и не узнаешь, что ты потенциальный спамер.

может вообще-то разумнее не закрывать исходящие порты, это и правда сравнительно бессмысленно, а просто логировать подозрительные исходящие коннекшены?