Porte in output per consentire i requisiti fondamentali del firewall

Se voglio solo consentire la funzionalità HTTP, POP3, IMAP4, SMTP per il traffico in output (ovvero non esiste server ospitati sul sito), ci sono ulteriori porte che devono essere aperte per consentire a queste funzioni di funzionare (ad esempio porte UDP DNS)?

Vedere anche: porte in output sempre aperte

  • Posizione della scheda di networking
  • Il modo migliore per garantire le compresse + altri dispositivi in ​​una stanza
  • Hai bisogno di procuter router / firewall / vpn / vlan / nat consulenza
  • Monitorare una session SSH in arrivo in tempo reale
  • Regole Iptables con! carattere
  • Come verificare se il mio server è vulnerabile al bug ShellShock?
  • Se alcune delle risposte qui sotto sembrano strano, vedi le modifiche di questo post – ho rimosso un sacco di dettagli che sembravano sollecitare le risposte a diverse domande in tutto.

    5 Solutions collect form web for “Porte in output per consentire i requisiti fondamentali del firewall”

    Se "… condividi la connessione a Internet con una o più organizzazioni su cui abbiamo un po 'di controllo, a parte la configuration sugli ASA". Non pensi di chiederle alless le esigenze specifiche che possono avere? Non sono sicuro di che cosa è il tuo setup, ma sono stato in una condivisione di connessione "condivisa" prima, e si vuole consultare con loro prima invece di bloccare arbitrariamente tutto tranne che le porte che il tuo org ha bisogno oppure puoi avere una causa contro le tue mani se si blocca un servizio richiesto per un altro org, solo perché non ti sembrava di chiederle prima …

    EDIT a causa di una domanda totalmente rivista

    • HTTP – TCP: 80
    • HTTPS-TCP: 443
    • POP3 – TCP: 110 (il POP protetto è tipicamente TCP: 995)
    • IMAP4 – TCP: 143 (IMAP protetto è tipicamente TCP: 993)
    • SMTP – TCP: 25
    • DNS – UDP: 53 (ricerche esterne)

    Questi servizi potrebbero essere su altri porti, ma sono le porte standard. Alcuni hanno menzionato altre porte HTTP nell'intervallo 8000 che è ansible, ma i siti pubblici in genere non lo fanno. Ancora una volta, è necessario monitorare il traffico e vedere se sono necessarie altre porte prima di aprirle.

    Se hai stabilito che queste porte sono state effettivamente utilizzate dalla tua azienda (si hanno utenti che si connettono a server di posta esterni su POP3, IMAP e inviano direttamente la posta tramite la port SMTP), probabilmente si dovrebbe prendere atto di quali IP esterni si connettono e limitano gli ACL a solo quelli IP sul firewall. Ciò limiterà in qualche modo l'esposizione se qualcuno dei tuoi utenti viene infettato con un worm di posta o altro virus simile.

    Per le ricerche DNS, a seconda della configuration, solo i server DNS interni (DC AD se si utilizza l'AD) eseguirebbero qualsiasi ricerca e i tuoi clienti li utilizzerebbero come server DNS. Di solito sapnetworking anche quali server DNS esterni utilizzano e limitano le loro ricerche in output solo a quei server DNS esterni per l'inoltro. Se i tuoi clienti stanno facendo ricerche, allora di nuovo probabilmente sapnetworking quali server DNS esterni stanno andando e limitano la loro connessione in output solo ai server esterni.

    In tutte queste impostazioni ACL è sufficiente consentire la port del servizio. Qualsiasi firewall di stato (credo di aver già parlato di ASA 5505s prima della modifica) riconoscerà una risposta dall'esterno e lo metterà in una session consolidata (e rifiuterà le connessioni che non hanno alcuna session stabilita).

    Recentemente ho implementato questo in un ambiente in cui sono consultato. Ho preso una settimana e ho registrato tutto il traffico di output in modo da avere una buona idea di quali sono le porte più utilizzate. Qualsiasi port ad alta usabilità che era fuori uso (porte a vapore per esempio), ho lavorato con la gestione e assicurati che fossero o non erano necessari per il business. Ho anche verificato che non ci fosse alcun software proprietario che l'organizzazione gestiva che stava comunicando su porte non standard.

    Infine, ho implementato i cambiamenti di block e sono stato monitorato per le prossime settimane.

    Tutto sumto, questo process mi ha richiesto circa un mese, ma perché ho fatto il lavoro di preparazione in anticipo, è andato molto bene.

    -Josh

    Non è raro trovare i webserver in esecuzione sulla port 8080 o 8000 o 8888 in modo da poterne includere quelli.

    porto 25 smtp ma se hai un relè allora basta solo il relè. messaggeri – msn, gtalk ecc.

    registrare la logging e guardare ciò che è bloccato, potrebbe esserci qualcuno che utilizza una port diversa.

    dipende da quanti servizi vuoi permettere il traffico. Non c'è prescrizione a tutti gli effetti. Forse nella tua list hai dimenticato le porte ftp 21 e 20. Per una risposta più dettagliata abbiamo bisogno di un elenco più dettagliato dei servizi con traffico da consentire.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.