it-swarm-es.com

¿Filtrado de salida en una red de oficina?

Con una red de oficina, la mayoría de las empresas utilizarán el filtrado de entrada para agregar un nivel de seguridad; sin embargo, pocas aprovechan el filtrado de salida para proteger sus redes. El uso del filtrado de salida, por supuesto, causará problemas a algunos usuarios, ya que requiere cambios de política para todo el software nuevo que se implemente, pero ¿la protección que ofrece, por ejemplo, contra botnets, supera el costo de administración adicional para la mayoría de las organizaciones?

¿Cuáles son los pros y los contras del filtrado de salida? Específicamente cuando se refiere a la red de una empresa de desarrollo de software de tamaño medio.


De la pregunta de propuesta del Área 51

13
Mark Davidson

PRO: control estricto sobre todo lo que se mueve fuera de su red (y por extensión, gran parte de lo que se mueve en ella).
CONTRA: Sus usuarios sienten el control. Teniendo en cuenta que eres una empresa de desarrollo, tus usuarios son bastante técnicos y probablemente lo resentirían.
CONTRA: Teniendo en cuenta que eres una empresa de desarrollo y que tus usuarios son bastante técnicos, es probable que instalen legítimamente nuevos programas en el curso de su trabajo (¿cuánto tiempo pasó hasta que se permitió el paso de Skype?) , y será difícil realizar un seguimiento y actualizar los filtros.
PRO: sus usuarios están en efecto restringidos en lo que pueden instalar :)
CONTRA: Ni siquiera considere esto para cada máquina, aunque no es completamente inútil, es mucho más fácil de evitar.
PRO: Como mencionaste, puede bloquear ciertos usos de botnets y otro malware involuntario.
PRO: Hipotéticamente puede ayudar (como primer paso) en la prevención de fugas de datos.

BER-CON: Es trivial evitarlo en la mayoría de los escenarios maliciosos simplemente haciendo un túnel sobre cualquier puerto/protocolo que SÍ tenga abiertos (esto incluye muchos tipos de gusanos adaptativos), mientras que en los casos no maliciosos es un verdadero ** tch para tratar.

Conclusión: El filtrado de salida es una muy buena herramienta para darle control , pero no muy buena para seguridad .

7
AviD

Una de las principales ventajas del filtrado de salida es que le obliga a comprender qué tráfico saliente legítimo requiere su personal y sus sistemas. Sin embargo, la desventaja es que administrar eso llevará tiempo y dinero. Si vale la pena dependerá de si cree que las amenazas que está mitigando valen la pena.

En cuanto a cómo se realiza el filtrado de salida, lo que he visto es principalmente en empresas más grandes donde no hay acceso directo a Internet para los usuarios finales y todo el tráfico saliente tiene que pasar por servidores proxy.

Esto tiene la ventaja de imponer un punto de estrangulamiento en su red donde fluirá todo el tráfico de Internet del usuario y donde se puede inspeccionar, por lo que, en teoría, puede implementar IDS/IPS/DLP en este punto para obtener una vista de qué contenido entra y sale de su red.

Por supuesto, para ser realmente eficaz, debe finalizar y restablecer todas las sesiones SSL allí, para que pueda realizar una inspección de contenido.

Como dije, la pregunta principal es si ese nivel de costo y trabajo adicional vale la pena para una organización determinada.

6
Rory McCune

Pros:

  • Seguridad incrementada
  • Mayor visibilidad del tráfico de la red
  • Mayor control

Contras:

  • Mayor sobrecarga ++
  • Mayor complejidad

Creo que la respuesta es sí, pero todo depende de tu entorno. Como mínimo, las organizaciones deberían considerar una red segmentada que controle el tráfico de entrada y salida a sus servidores. No estoy de acuerdo con que el filtrado de salida sea trivial de evitar. Si se implementa correctamente, el filtrado de salida puede ser una fuerte capa defensiva. Implementado correctamente significa que todo pasa por un proxy. Las excepciones solo deben permitirse en puntos finales conocidos y de confianza.

3
sdanelson

Creo que los pros y los contras se han discutido bien y todos apuntan a que el problema real aquí es, de hecho, la protección contra la pérdida de datos.

Estoy de acuerdo en que los cortafuegos deben usarse para protegerte de los demás y, al mismo tiempo, de los demás de ti (es decir, de un brote de gusanos) con filtros de salida sensibles. Si te gusta, es básicamente una política de buen vecino.

Sin embargo, como se discutió, son una herramienta contundente que se puede eludir trivialmente si alguien está buscando exfiltrar información de la organización.

Por lo tanto, el enfoque debe ser proteger contra la pérdida de datos y utilizar el firewall como un componente de este enfoque. Las organizaciones deben monitorear el tráfico saliente como parte de un enfoque de DLP (protección contra pérdida de datos) organizacional general, que requiere monitorear el tráfico de la red en sí y buscar tendencias/excepciones/volumen.

3
David Stubley

Especialmente la comunicación entre servidores tiene patrones de comunicación muy predefinidos. Al permitir solo este tráfico, está seguro de que nadie comprometerá accidentalmente el servidor al agregar nuevo software y, por lo tanto, aumentará la seguridad.

Las desventajas de hacer esto es el trabajo que se necesita para mantener estos filtros. No solo necesita abrir una vez que se implementa el nuevo software, sino que también debe asegurarse de cerrar una vez que el sofwater ya no sea necesario o una vez que cambie.

El uso de filtros de salida lo obliga a aprender y conocer los canales de comunicación utilizados por su servidor y software.

3
Chris Dale

El problema que encuentra la mayoría de la gente es configurar formas de prevenir el flujo de tráfico saliente de DNS y HTTP/TLS. Estoy bastante seguro de que es mejor simplemente instalar Whitetrash que incluso usar un firewall (incluidos los sofisticados como Palo Alto Networks) o una puerta de enlace web segura.

Si está utilizando una puerta de enlace web de lista blanca como Whitetrash, y ha evitado todo el resto del tráfico saliente, aún debe preocuparse por los canales encubiertos de DNS. La forma más fácil es tener un servidor DNS interno sin conectividad saliente, y luego tener el proxy Squid que ejecuta Whitetrash, ya sea como Host Internet DNS o conectarlo a una red separada que aloje servidores DNS de Internet. Los navegadores obtendrán su DNS a través del proxy. Sí, esto realmente funciona, pero los usuarios no podrán usar ningún protocolo de tráfico a Internet que no sea HTTP o SSL (e incluso eso debe pasar por el proxy). Supongo que FTP y Gopher también funcionarían si Squid estuviera configurado para permitirlos.

Esta sería una red frustrante a la que estar conectado, y solo sería posible en los entornos más estrictos con políticas opresivas de seguridad de la información.

No soy un fanático de la inspección del tráfico SSL, pero si lo hace, asegúrese de no inspeccionar bancos/etc.con el uso de una lista blanca. Si está utilizando Whitetrash, probablemente ya tenga una lista extensa para administrar de todos modos.

0
atdre