it-swarm-korea.com

사무실 네트워크에서 송신 필터링?

사무실 네트워크에서 대부분의 회사는 수신 필터링을 사용하여 보안 수준을 추가하지만 네트워크를 보호하기 위해 송신 필터링을 활용하는 기업은 거의 없습니다. 이 그레스 필터링을 사용하면 배포되는 모든 새 소프트웨어에 대한 정책 변경이 필요하기 때문에 일부 사용자에게 문제가 발생하지만 예를 들어 봇넷에 대한 보호 기능이 대부분의 조직에서 추가 관리 비용을 능가합니까?

Egress 필터링의 장단점은 무엇입니까? 특히 중간 규모 소프트웨어 개발 사업의 네트워크를 언급 할 때.


51 구역 제안 질문에서

13
Mark Davidson

장점 : 네트워크 외부로 이동하는 모든 것에 대한 엄격한 제어 (확장하면 네트워크에서 이동하는 대부분).
CON : 사용자는 통제력을 느낍니다. 당신이 개발 사업이라는 것을 고려할 때, 당신의 사용자는 거의 기술적이며 아마 원망할 것입니다.
CON : 당신이 개발 사업이고 당신의 사용자가 거의 기술적 인 것을 고려할 때, 그들은 작업 과정에서 합법적으로 새로운 프로그램을 설치할 가능성이 높습니다 (스카이프가 허용되기까지 얼마나 걸렸습니까?). , 필터를 추적하고 업데이트하기가 어렵습니다.
PRO : 사용자는 실제로 설치할 수있는 항목이 제한됩니다. :)
CON : 각 기계에 대해 이것을 고려하지 마십시오. 완전히 무의미하지는 않지만 우회하기가 훨씬 쉽습니다.
PRO : 언급했듯이 봇넷 및 기타 무의식적 인 맬웨어의 특정 사용을 차단할 수 있습니다.
PRO : 데이터 유출 방지에있어 첫 번째 단계로 가정적으로 도움을 줄 수 있습니다.

BER-CON : 대부분의 악성 시나리오에서 우회하는 것은 사소한 일입니다. 열려있는 포트/프로토콜 (여러 유형의 적응 형 웜이 포함됨)을 통해 단순히 터널링하여 처리 할 진짜 녀석.

요점 :이 그레스 필터링은 control 을 제공하는 매우 좋은 도구이지만 보안 .

7
AviD

송신 필터링의 주요 장점은 직원과 시스템에 필요한 합법적 인 아웃 바운드 트래픽을 이해해야한다는 것입니다. 그러나 단점은 관리하는 데 시간과 돈이 필요하다는 것입니다. 그만한 가치가 있는지 여부는 완화하려는 위협이 비용의 가치가 있다고 생각하는지에 달려 있습니다.

이 그레스 필터링을 수행하는 방법과 관련하여 제가 본 곳은 주로 최종 사용자가 인터넷에 직접 액세스 할 수없고 모든 아웃 바운드 트래픽이 프록시 서버를 통과해야하는 대기업입니다.

이는 모든 사용자 인터넷 트래픽이 흐르고 검사 할 수있는 네트워크에 초크 포인트를 적용하는 이점이 있으므로 이론적으로이 시점에서 IDS/IPS/DLP를 배포하여 어떤 콘텐츠를 볼 수 있습니다. 네트워크에 들어오고 나가는 것입니다.

물론 정말 효과적이려면 모든 SSL 세션을 종료하고 다시 설정해야 콘텐츠 검사를 수행 할 수 있습니다.

내가 말했듯이, 주요 질문은 주어진 조직에서 그 수준의 비용과 추가 작업이 가치가 있는지 여부입니다.

6
Rory McCune

장점 :

  • 보안 강화
  • 네트워크 트래픽에 대한 가시성 향상
  • 제어력 향상

단점 :

  • 오버 헤드 증가 ++
  • 복잡성 증가

대답은 '예'라고 생각하지만 모두 환경에 따라 다릅니다. 최소한 조직은 서버에 대한 수신 및 송신 트래픽을 제어하는 ​​세그먼트 화 된 네트워크를 고려해야합니다. 이 그레스 필터링이 우회하기가 쉽지 않다는 데 동의하지 않습니다. 제대로 구현되면이 그레스 필터링이 강력한 방어 계층이 될 수 있습니다. 제대로 구현된다는 것은 모든 것이 프록시를 통과한다는 것을 의미합니다. 예외는 알려져 있고 신뢰할 수있는 엔드 포인트에만 허용되어야합니다.

3
sdanelson

장단점이 잘 논의되었다고 생각하며 여기서 실제 문제는 사실 데이터 손실로부터 보호하는 것입니다.

본인은 방화벽을 사용하여 다른 사람으로부터 사용자를 보호하고 동시에 다른 사람 (예 : 웜 발생)으로부터 적절한 아웃 바운드 필터를 사용하여 보호해야한다는 데 동의합니다. 기본적으로 좋은 이웃 정책을 좋아한다면.

그러나 논의한 바와 같이 누군가가 조직에서 정보를 빼내려고 할 때 쉽게 우회 할 수있는 무딘 도구입니다.

따라서 초점은 데이터 손실로부터 보호하고 방화벽을이 접근 방식의 한 구성 요소로 사용하는 것입니다. 조직은 네트워크 트래픽 자체를 모니터링하고 추세/예외/볼륨을 찾아야하는 전체 조직 DLP (데이터 손실 방지) 접근 방식의 일부로 아웃 바운드 트래픽을 모니터링해야합니다.

3
David Stubley

특히 서버 간의 통신에는 사전 정의 된 통신 패턴이 있습니다. 이 트래픽 만 허용하면 새 소프트웨어를 추가하여 실수로 서버를 손상시키지 않고 보안을 강화할 수 있습니다.

이렇게하면 단점은 이러한 필터를 유지하는 데 필요한 작업입니다. 새 소프트웨어가 배포 된 후 열어야 할뿐만 아니라 sofwater가 더 이상 필요하지 않거나 변경되면 닫아야합니다.

송신 필터를 사용하면 서버와 소프트웨어에서 사용하는 통신 채널을 배우고 알 수 있습니다.

3
Chris Dale

대부분의 사람들이 직면하는 문제는 DNS 및 HTTP/TLS 아웃 바운드 트래픽의 흐름을 방지하는 방법을 설정하는 것입니다. 방화벽 (Palo Alto Networks와 같은 멋진 방화벽 포함)이나 보안 웹 게이트웨이를 사용하는 것보다 Whitetrash 를 설치하는 것이 더 낫다고 확신합니다.

Whitetrash와 같은 화이트리스트 웹 게이트웨이를 사용하고 있고 다른 모든 아웃 바운드 트래픽을 차단 한 경우에도 DNS 비밀 채널에 대해 걱정할 필요가 있습니다. 가장 쉬운 방법은 아웃 바운드 연결이없는 내부 DNS 서버를 보유한 다음 Whitetrash를 실행하는 Squid 프록시를 호스트 인터넷 DNS로 설정하거나 인터넷 DNS 서버를 호스팅하는 별도의 네트워크에 연결하는 것입니다. 브라우저는 프록시를 통해 DNS를받습니다. 예, 실제로 작동하지만 사용자는 인터넷에 HTTP 또는 SSL이 아닌 프로토콜 트래픽을 사용할 수 없습니다 (프록시를 통과해야 함). Squid가 허용하도록 구성되어 있다면 FTP와 Gopher도 작동 할 것이라고 생각합니다.

이것은 연결되기에 실망스러운 네트워크이며, 억압적인 infosec 정책이있는 가장 엄격한 환경에서만 가능합니다.

나는 SSL 트래픽을 검사하는 것을 좋아하지 않지만 만약 그렇다면-화이트리스트를 사용하여 은행 등을 검사하지 않도록하십시오. Whitetrash를 사용하고 있다면 관리해야 할 광범위한 목록이 이미있을 것입니다.

0
atdre