Есть ли смысл блокировать исходящий трафик в Mikrotik?

Question

[Евдоким]

Есть ли смысл блокировать весь исходящий трафик (который уходит в Интернет, src-nat), отставляя только те порты, которые разрешены? Добавляет ли это "секьюрности" юзерам организации и самому Микротику?

Сисадмин в одной организации ввел подобную "странную" практику и приходится теперь периодически просить добавлять некоторые порты в исключения. К примеру, jabber-клиенты, которые работают не только на 443 порту, но и затрагиваются 3478-3481, требуют таких исключений.

Я спросил его, говорит, типо добавляет "секьюрности". Какая может быть "секьюрность", если можно пользоваться форвардерами, прокси и vpn, которые спокойно позволяют обойти эти "ограничения". Причем, vpn-сервер можно поднять на том же 443 или 80 порту, Он же не станет блокировать 443 или 890 порт, потому что юзеры не смогут выйти в интернет.

Есть ли смысл в подобной практике?

Answer 1

[АртемЪ]

Есть ли смысл блокировать исходящий трафик в Mikrotik?

Это надо спрашивать у администратора конкретной сети. Кто же знает - есть там смысл в таком действии или нет?

Добавляет ли это "секьюрности" юзерам организации и самому Микротику?

Что такое секьюрность?

Любая настройка делается с какой-то конкретной целью.
Если настройка делается без конкретной цели, по принципу " добавляет секьюрности" - значит настройку делал идиот.

Answer 2

[gav_cat]

Доброго времени!
Считаю что надо.
В сети ip камеры китайского производства - постоянно ломятся куда-то в Китай - возможно в свое облако.
Майнеры многие отвалятся тоже, скорее даже все.
Торренты.
Я нашел комп на котором пользователь поставил mediaget, который очень много трафика просто лил.

Comments

[Vladimir Zhurkin]

и многие камеры , да и майнеры могут свободно передовать данные о ужас по 443 порту или по другому , маскируя при этом трафик.

Если нужна такая защита, то надо ставить IDS/IPS системы.

Answer 3

[dollar]

Смысл есть, но его мало.

В теории, да и на практике, вирус может не уметь пользоваться прокси или VPNами, а тупо стучаться на свой жестко прошитый порт 12345 (любая цифра), который, к счастью, заблокирован.

Другой вопрос, какого фига вирус вообще проник? То есть проникнув однажды, вирус сможет проникнуть и во второй раз, только уже с нормальным апгрейдом. И почему вирус не может стучаться на 80 порт?

Но факт остаётся фактом, примитивные непродуманные вирусы ещё встречаются. И в целом "секьюрность" от такой блокировки повышается. Но, имхо, гемор не оправдывает цель, если это не банк. А в случае с банком еще и белый список адресов не повредит.

Comments

[Евдоким]

да и вообще, современные вирусы (особенно бэкдоры и ботнет) умеют более методично выбирать способ соединения со своим сервером — напрямую если невозможно, то грузит список живых прокси, и через них передает/получает данные

[dollar]

Евдоким, если вирус сделан современным Васей Пупкиным, который учится в 9 классе, то это не делает сам вирус современным.

Ну а если за вирусом стоит какое-нибудь правительство, то даже полное уничтожение микротика и перекрытие доступа в Интернет всем юезрам в итоге не спасёт от утечки информации. Сотрудница Марья Ивановна вынесет на флешке за скромную оплату в штуку баксов.

[Евдоким]

dollar, я не имел в виду такие крайности, а просто факт вам говорю. Почти все вирусы, централизованно управляемые, либо ворующие данные, умеют работать через публичные прокси, и даже умеют подключаться по vpn. И почти всегда прячутся за 443/80 портами. Это из описаний, приведенных Kaspersky Lab, DrWeb и ESET. Да и сам лично тоже встречал

[dollar]

Евдоким, верю. Только это не противоречит моему ответу, а целиком сходится с ним. Почти все вирусы - это не все вирусы, то есть хоть кого-то удастся отфильтровать. Но игра не стоит свеч. Поэтому смысл есть, но его мало (практически нет).

И если вы поспорили с кем-то, то пусть выигрывает тот, кто сказал, что смысла нет.

Answer 4

[nApoBo3]

"Секюрности" незначительно, но добавляет.
Так же немного улучшает "управляемость".
Плюс нужно понимать, что админ, если это не целый коллектив профи, не может быть до конца уверен в своих компетенциях по всему спектру технологий и будет больше полагаться на те технологии которые лучше понимает. Вероятно в mikrotik он чувствует себя увереннее.

Допустим все порты открыты и пользователь использует условный jabber, через него происходит что-нибудь не хорошее. Абсолютно не важно, что, но руководство не довольно, кто плохой, админ.
Допустим админ доступными методами все перекрыл, а пользователь обошел эти методы и произошло, что-то не хорошее, кто плохой, пользователь. А на вопрос, почему это нельзя было заблокировать, ответ, даже у гос-ва заблокировать телеграмм не вышло, куда уж нам.

Comments

[Евдоким]

А в чем выражается улучшение управляемости...?

[nApoBo3]

Евдоким, именно в том, что гарантированно работают только явно прописанные сервисы. Примерно как с белыми и черными списками. Черные списки управляемость не улучшают, поскольку кол-во рабочих сервисов не ограниченно, с белыми списками иначе, они явно ограничивают кол-во рабочих сервисов.