6. Servidor de seguridad
6.1. Fundamentos de cortafuegos
6.1.4. El filtrado de salida
El filtrado de salida se refiere al filtrado de tráfico iniciado dentro de la red destinada a la
Internet o cualquier otra interfaz en el firewall. pfSense, como casi todos los comerciales y similares soluciones de código abierto, viene con una regla de LAN que permite todo, desde la salida a la LAN
De Internet. Esta no es la mejor manera de operar, sin embargo. Se ha convertido en el valor predeterminado de facto en la mayoría de
soluciones de servidor de seguridad, ya que es simplemente lo que más deseo de la gente. El error común es creer
muchas
diferentes organizaciones, empresas más pequeñas y las redes domésticas no utilizan salida
filtrado. Se puede aumentar la carga administrativa, ya que cada nueva aplicación o servicio puede requieren la apertura de puertos o protocolos adicionales en el firewall. En algunos entornos, es difícil porque los administradores no sabemos realmente lo que está sucediendo en la red, y no se atreven para romper las cosas. En otros, es imposible por razones de política laboral. Pero usted debe esforzarse para permitir sólo el tráfico mínimo requerido para salir de la red, siempre que sea posible. Estrecha salida
filtrado es importante por varias razones.
1. Limitar el impacto de un sistema comprometido - malware normalmente utiliza los puertos y protocolos que no son necesarios en muchas redes. Muchos robots se basan en conexiones IRC para llamar a casa y recibir instrucciones. Algunos se utilizan puertos más comunes, como el puerto TCP 80 (normalmente HTTP) para evadir el filtrado de salida, pero muchos no lo hacen. Si no permiten el puerto TCP 6667, el
habitual puerto de IRC, que puede paralizar los robots que se basan en el IRC para funcionar.
Otro ejemplo que he visto es el caso de que la interfaz en el interior de una instalación pfSense se viendo 50 a 60 Mbps de tráfico, mientras que la WAN tenían menos de 1 Mbps de rendimiento. No se no otras interfaces en el firewall. Algunos investigación puso de manifiesto la causa como un peligro sistema en la LAN utilizando un robot que participan en una denegación de servicio distribuido (DDoS)
contra un sitio web de juegos de azar chino. Se utiliza el puerto UDP 80, probablemente por un par de razones. En primer lugar,
UDP permite enviar grandes paquetes sin completar un protocolo de enlace TCP. Con con estado
servidores de seguridad son la norma, los grandes paquetes TCP no pasará hasta que el apretón de manos con éxito completado, lo que limita la eficacia de los ataques DDoS. En segundo lugar, aquellos que empleen salida filtrado son comúnmente demasiado permisiva, lo que permite TCP y UDP, TCP, donde sólo se requiere, como en el caso de HTTP. En esta red, el puerto UDP 80 no fue permitido por el conjunto de reglas de salida, por lo que todos los DDoS estaba realizando estaba golpeando la interfaz interna del servidor de seguridad con el tráfico
que se estaba caído. Estaba buscando en el servidor de seguridad de una razón no relacionada y encontré esto, sino que era feliz avanzaba a sin degradación del rendimiento y el administrador de la red
no sabía lo que estaba sucediendo.
SMTP saliente es otro ejemplo. Sólo se debería permitir SMTP, el puerto TCP 25, para dejar
la red de su servidor de correo. O si tu servidor de correo alojadas en servidores externos, sólo permiten sus sistemas internos para hablar con ese sistema específicos no incluidos en el puerto TCP 25. Esto evita que cualquier otro sistema en la red se utilice como un zombie de spam, ya que su SMTP
el tráfico se redujo. Esto tiene la ventaja evidente de hacer su parte para limitar el spam, y también evita que su red se agreguen a las numerosas listas de negro a través de Internet que
le impide el envío de correo electrónico legítimo muchos servidores de correo.
La solución correcta es evitar que este tipo de cosas suceda en primer lugar, pero
filtrado de salida proporciona otra capa que puede ayudar a limitar el impacto si otras medidas
no.
2. Prevenir un compromiso - en algunas circunstancias, filtrado de salida puede impedir que sus sistemas no se vean comprometidas. Algunas explotaciones y gusanos requieren el acceso de salida para tener éxito. Un
Servidor de seguridad
ejemplo más viejo pero bueno de esto es el gusano Code Red a partir de 2001. El exploit causado afectados
sistemas para tirar de un archivo ejecutable a través de TFTP (Trivial File Transfer Protocol) y luego ejecutar que. Su servidor web, casi seguro que no es necesario para utilizar el protocolo TFTP, y el bloqueo
TFTP a través de filtrado de salida prevenir la infección por Code Red, incluso en los servidores no actualizados. Este es en gran medida sólo es útil para detener totalmente los ataques automatizados y gusanos, como un humano real
atacante se encuentra todos los agujeros que existen en el filtrado de salida y usarlos a su favor.
Una vez más, la solución correcta para la prevención de compromiso es corregir las vulnerabilidades de su red,
Sin embargo filtrado de salida puede ayudar.
3. Limite el uso de aplicaciones no autorizadas - muchas aplicaciones, tales como clientes VPN, peer-to-peer software, programas de mensajería instantánea y más confían en los puertos o protocolos atípica para su funcionamiento. Mientras que un
número creciente de peer-to-peer y mensajería instantánea hop será el puerto hasta encontrar algo les permite salir de la red, muchos se verá impedido de funcionar por una salida restrictivas
conjunto de reglas, y este es un medio eficaz para limitar muchos tipos de conectividad VPN.
4. Prevenir IP spoofing - esta es una razón comúnmente citada para el empleo de filtrado de salida,
pero pfSense bloquea automáticamente el tráfico a través de la funcionalidad falsa antispoof PF, por lo que
no es
aplicable en este caso.
5. prevenir fugas de información - ciertos protocolos no se debe permitir que salgan de su red. Ejemplos específicos pueden variar de un entorno a otro. Microsoft RPC (Remote
Procedure Call) en el puerto TCP 135, NetBIOS sobre TCP y los puertos UDP 137 a 139, y SMB / CIFS (Server Message Block / Common Internet File System) de TCP y UDP 445 son ejemplos comunes de los servicios que no se debe permitir que salgan de su red. Esto puede evitar que la información sobre su red interna de fugas en la Internet, y
evitará que sus sistemas de iniciar los intentos de autenticación con servidores de Internet. Estos
protocolos también se incluyen en "limitar el impacto de un sistema comprometido", como se indicó anteriormente, ya que muchos gusanos se han basado en estos protocolos para funcionar en el pasado. Otros protocolos
que pueden ser relevantes en su entorno se syslog, SNMP y traps SNMP. La restricción de este tráfico prevenir mal configurados los dispositivos de red de envío de registro y otros potencialmente a la información sensible en Internet. En lugar de preocuparse por lo que podría protocolos a fuga de información de la red y deben ser bloqueados, sólo permiten el tráfico que
se requiere.
6.1.4.2. Enfoques para la aplicación de filtrado de salida
En una red que, históricamente, no ha empleado filtrado de salida, puede ser difícil saberlo que el tráfico es realmente necesario. En esta sección se describen algunos enfoques para la aplicación de egreso
filtrado en la red.
6.1.4.2.1. Deje que lo que conocemos, bloquear el resto, y el trabajo a través de la lluvia
Un enfoque es agregar reglas de firewall para el tráfico que usted conoce necesita estar permitido. Comience
con
hacer una lista de cosas que sabemos que son necesarios, como en Tabla 6.1, "tráfico de la salida necesaria".
Descripción
IP de origen
IP de destino
Puerto de destino
HTTP y HTTPS
cualquier
de todos los hosts
SMTP de correo
IP del servidor de
correo
servidor
Recursiva
DNS IP del servidor DNS
consultas de los internos
Servidores DNS
Tabla 6.1. Salida de tráfico
necesarios
cualquier
cualquier
cualquier
TCP 80 y 443
TCP 25
TCP y UDP 53
A continuación, configure las reglas de firewall en consecuencia, y dejó caer todo lo demás.
6.1.4.2.2. el tráfico de registro y análisis de los registros
Otra alternativa es habilitar el registro en las reglas de su pase, y enviar los logs a un servidor syslog,
donde se puede analizar para ver lo que el tráfico se salga de su red. Dos análisis de registros
paquetes con soporte para formato de registro PF son fwanalog1 y Hacha2. Usted puede encontrar
más fácil de analizar los registros con un script personalizado, si usted tiene experiencia con el análisis de archivos de texto. Este
ayudará a crear el conjunto de reglas necesarias con menos consecuencias que debe tener una mejor idea de lo que