@novelette

Есть ли смысл блокировать исходящий трафик в Mikrotik?

Есть ли смысл блокировать весь исходящий трафик (который уходит в Интернет, src-nat), отставляя только те порты, которые разрешены? Добавляет ли это "секьюрности" юзерам организации и самому Микротику?

Сисадмин в одной организации ввел подобную "странную" практику и приходится теперь периодически просить добавлять некоторые порты в исключения. К примеру, jabber-клиенты, которые работают не только на 443 порту, но и затрагиваются 3478-3481, требуют таких исключений.

Я спросил его, говорит, типо добавляет "секьюрности". Какая может быть "секьюрность", если можно пользоваться форвардерами, прокси и vpn, которые спокойно позволяют обойти эти "ограничения". Причем, vpn-сервер можно поднять на том же 443 или 80 порту, Он же не станет блокировать 443 или 890 порт, потому что юзеры не смогут выйти в интернет.

Есть ли смысл в подобной практике?
  • Вопрос задан
  • 2725 просмотров
Пригласить эксперта
Ответы на вопрос 4
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
Есть ли смысл блокировать исходящий трафик в Mikrotik?
Это надо спрашивать у администратора конкретной сети. Кто же знает - есть там смысл в таком действии или нет?

Добавляет ли это "секьюрности" юзерам организации и самому Микротику?
Что такое секьюрность?

Любая настройка делается с какой-то конкретной целью.
Если настройка делается без конкретной цели, по принципу " добавляет секьюрности" - значит настройку делал идиот.
Ответ написан
@gav_cat
Доброго времени!
Считаю что надо.
В сети ip камеры китайского производства - постоянно ломятся куда-то в Китай - возможно в свое облако.
Майнеры многие отвалятся тоже, скорее даже все.
Торренты.
Я нашел комп на котором пользователь поставил mediaget, который очень много трафика просто лил.
Ответ написан
dollar
@dollar
Смысл есть, но его мало.

В теории, да и на практике, вирус может не уметь пользоваться прокси или VPNами, а тупо стучаться на свой жестко прошитый порт 12345 (любая цифра), который, к счастью, заблокирован.

Другой вопрос, какого фига вирус вообще проник? То есть проникнув однажды, вирус сможет проникнуть и во второй раз, только уже с нормальным апгрейдом. И почему вирус не может стучаться на 80 порт?

Но факт остаётся фактом, примитивные непродуманные вирусы ещё встречаются. И в целом "секьюрность" от такой блокировки повышается. Но, имхо, гемор не оправдывает цель, если это не банк. А в случае с банком еще и белый список адресов не повредит.
Ответ написан
@nApoBo3
"Секюрности" незначительно, но добавляет.
Так же немного улучшает "управляемость".
Плюс нужно понимать, что админ, если это не целый коллектив профи, не может быть до конца уверен в своих компетенциях по всему спектру технологий и будет больше полагаться на те технологии которые лучше понимает. Вероятно в mikrotik он чувствует себя увереннее.

Допустим все порты открыты и пользователь использует условный jabber, через него происходит что-нибудь не хорошее. Абсолютно не важно, что, но руководство не довольно, кто плохой, админ.
Допустим админ доступными методами все перекрыл, а пользователь обошел эти методы и произошло, что-то не хорошее, кто плохой, пользователь. А на вопрос, почему это нельзя было заблокировать, ответ, даже у гос-ва заблокировать телеграмм не вышло, куда уж нам.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы