現在ポート80と443のみを許可することに意味はありますか?
セキュリティを重視する組織にとって、80と443以外のすべてをブロックすることは標準的な料金になっています。その結果、(Webブラウザー以外の)より多くのアプリケーションが、ニーズに合わせてこれらのポートを使用することを学んでいます。
当然、悪意のあるプログラムもそれを実行します。つまり、実際のセキュリティを確保するには、ファイアウォールが実際にデータストリームを調べて、ポートだけでなくアプリケーションデータに基づいてブロックする必要があります...
これは、ポートベースのブロッキングが、最初から近視眼的なアプローチであったことを示しているようです。
その場合、非標準のポートを包括的にブロックするのをやめるべきではありません。そもそも、よりきめの細かいフィルタリングを行うべきですか?または、ポートホワイトリストアプローチを維持する他の理由はありますか?
80と443を除くすべてのポートをブロックすることは、適切な多層防御戦略の一部になる可能性があります。それがあなたの唯一の戦略であるならば、あなたは正しいです、それは欠陥があるでしょう。
層状アプローチの例としては、
- 外部ファイアウォールで80/443を差し引いたすべてのポートをブロックする
- インラインIPS(またはファイアウォールの一部として)にパケット分析を行わせる
- WebアプリケーションファイアウォールでWebアプリ入力をサニタイズする
- DBファイアウォールでDB入力をサニタイズする
- すべてをログに記録し、それをログ管理システム(アラート付き)にフィードします
- すべてのバックアップ(可用性戦略が何であれ)
- 選択したベースライン/ベンチマーク(Org SOP、CIS/DISA STIGSなど)に従って、すべてのOSを強化します。
これは非常に単純な例の1つにすぎません。優れた多層防御戦略には、安全なシステムを構築する多くのレイヤーがあります。
あなたは絶対的に正しいです。ポート80またはポート443に魔法のようなものはありません。1つのポートまたは別のポート、あるいは1つのプロトコルまたは別のポートについて本質的に安全なものはありません。 HTTP以外のすべてをブロックすると、誰もがHTTPの使用を開始します。攻撃者は他のすべてのものよりも常に速く移動できます。古いインフラストラクチャを維持することで制限を受けることはありません。
本質的に、プロトコルとポートは安全でも安全でもありません。それらをブロックすることは、セキュリティシアターのもう1つの形式です。
ホワイトリストは、一般的にブラックリストよりも望ましいです。実際に必要なポートのみを開き、それらのポートを可能な限り制限すると、攻撃対象領域が減少し、監視する必要のあるトラフィックが制限されます。
はい、80と443は引き続き悪意のあるトラフィックで悪用される可能性があります。しかし、はるかに小さなウィンドウと、より簡単に目を離せないウィンドウを強制的に通過させることで、攻撃の基準を引き上げます(少なくとも少し)。
ポート番号は関係ありません。任意のポートで待機または接続しているアプリケーションは重要です。ネットワークを使用して、アプリケーションの攻撃ベクトルを制限します。
いくつかの提案:
- アプリケーションノードは、目的とトラフィックプロファイルが異なる複数のネットワーク(アプリケーションネットワークと管理ネットワーク)でアクセスできる必要があります。
- 1024未満のポートでのアプリケーションは避けてください。 8080または他のランダムなポートを使用します。 NAT(LBで)アプリケーションネットワーク境界のアプリケーションポートに。
- Iptablesを使用して、特定のロードバランサーIP(直接ルートLBを使用していない場合)または内部サービス(DB)へのアプリケーショントラフィック(80、443)のみを許可します。
- SSH(22)およびその他のトラフィック(ロギング)を管理ネットワークに制限します。
- 可能であれば、ネットワークを物理的に分離します。
- アプリケーションノードの構成をDNSに依存しないでください。
- 企業ネットワークと開発ネットワークを本番ネットワークから分離します。
- 未承認のトラフィックがないか、隔離されたネットワークを監視します。例:アプリケーションネットワークのSSHトラフィックは問題を示しています。