発信トラフィックブロック-最適なポリシー
私のネットワークでは、一部のバックグラウンドアプリケーション/ウイルスがインターネット接続を悪意のあるバックドアとして使用する可能性があることを懸念しています。ナビゲーションと他のいくつかのサービス(スカイプ、電子メール、ecc)を除いて、ネットワークへのすべての発信接続を閉じることを決定しました。しかし、ウイルス/バックドアが上記のサービス(80、483、25、143、587 eccなど)を取得するために開かれたポートを利用するという安全な方法でこれを実行するにはどうすればよいですか?これはアプリケーションレベルで行う必要がありますか(たとえば、ウイルスが「Outlook.exe」であるようにシミュレートし、開いた通常のポートに電子メールを送信する場合はどうなりますか?)この環境に最適なポリシーは何ですか?ファイアウォールにセットアップし、すべてのものを残して、Webおよびその他のサービスは除外したいと思います。それは私が処理できるよりも大きな問題のようです。ありがとうございました。
あなたが達成したいことは、まさにあなたが述べた理由のために、ポートをブロックするだけの単純なファイアウォールを使用して不可能です。マシンにインストールされたスマートな悪意のあるプログラムは、ブロックしないポートを使用します。 80、443、またはsmtpに使用されるさまざまなポート。ただし、これらは80および443ほど信頼性が高くありません。udpおよびマスカレードをDNSルックアップとして使用する場合もあります。
このようなトラフィックをキャッチするには、トラフィックを検査するファイアウォール(ディープパケットインスペクション)が必要です。または、侵入検知システムを使用することもできます。これらは多くの場合、「通常の」トラフィックの構成要素を学習し、これらの境界の外に出るトラフィックが検出されたときにアラートを出すことによって機能します。これは、異なるマシンへの多くの接続が開かれたときに警告を発したり、moeeの複雑なパターンを検出したりするのと同じくらい簡単かもしれません。
あなたがホームネットワークをセキュリティで保護しようとしている個人の場合、私はその努力は利益に値しないと思います。企業ネットワークでは異なります。
ただし、発信トラフィックで不要な宛先ポートをブロックすることは、最初のステップとして適切であり、悪影響はありません。特定のホスト名またはIPアドレスをブロックして、特定のプログラムが自宅に電話をかけるのをブロックすることもできます。
ネットワークレベルでこれを行う代わりに、アプリケーションのホワイトリストプログラムを使用することもできます。このアプローチは、マルウェアの洪水に対処するための数少ない実行可能な方法の1つとして徐々に認識されるようになっています。このアプローチでは、既知の適切なプログラムのみが実行を許可されます。推測、署名、ヒューリスティックなどはありません。許可リストになければ、実行されません。
ただし、これは使いやすさに確実に影響します。一般に、使用パターンが定義されているコンピューターに適していると考えられています。汎用コンピューターが関係している場合、プログラムを頻繁にインストールすることを期待している場合は、より困難です(ホワイトリストは、非常に慎重である場合にのみ有効です)。
少なくともオプションです。