Vilka utgående portar skall man blockera?

Många snillen spekulerar...

En port är bara en siffra mellan 1 och 65535. Om du har en brandvägg som bara hanterar portar så är du blind. Du måste öppna port 80 och 443 för att surfa på internet. Nackdelen med det är att vad för skit som helst kan använda dessa portarna för utgående trafik, och det gör dom.

Lösningen är tyvärr inte så enkel. Port-baserade brandväggar är värdelösa idag, det du behöver är en brandvägg som gör djupare inspektion i paketen. Ibland kallas det Application layer firewall, ibland next generation firewall osv.

Det du nämligen vill göra är att inte strypa utgående trafik på portnivå utan på applikationnsnivå (t ex ssl) eller ännu hellre med klassification av destinationer, url-kategorier osv.

Deep packet inspection är definitivt inte svaret om man inte kör en miljö med hög säkerhetsnivå och har resurserna som krävs för det, både hårdvara och en PKI som är tillräckligt sofistikerad för att hantera SSL-terminering. Svaret är helt sonika host based firewall, eventuellt i kombination med segmentering och isolering även om jag tvivlar på att TS har en miljö större än två eller tre enheter.

Sant. Min poäng är att det här med att blocka utgående portar ger en falsk trygghet. Såklart ska man bara öppna det som behövs. Stäng allt, öppna tills det som ska funka funkar. Men om du har ett malware eller vad skit som helst som behöver en utgående port så kommer denna inte att stoppas. Se t ex all_ports i Metasploit som försöker alla portar för att kunna ringa hem. Hade jag skrivit ett malware som behövde utgående trafik så hade jag struntat i portar och försökt på alla. Därför är man inte särskilt skyddad bara för att man blockar portar.

Jo men en hostbaserad brandvägg tittar på vilket program som försöker nå omvärlden utan att sätta allt fokus på vilket portnummer som använts. Så om det virussmittade programmet inte finns i vitlistningen spelar det ingen roll om den provar att koppla till port 80, 443, eller vad tusan som helst - programmet tillåts inte göra några som helst utgående anslutningar.

Och har man ett program som regelbundet söker efter uppdateringar så kan man vitlista just precis anslutningen till "husse" - blir programmet hackat och börjar försöka hämta instruktioner på något okänt twitterkonto så blir det stopp för det specifika programmet är inte vitlistat att få koppla till twitter.

En workstation-maskin är i princip helt omöjlig att brandväggshantera om inte brandväggen kan sätta regler utifrån specifik process. Och en extern deep-inspection-burk blir överkurs för i princip "alla" normala användare och även majoriteten företag.

Hej
Du gör helt helt tvärrt om, du ska ta reda på vilka portar din interna system behöver kunna accessas på och BARA öppna dessa portar, allt annat skall vara stängt!

/it specialist

Utgående ingenting...
Ingående allt.

Kör en statefull firewall så löser sig allt

Varför blockerar du 443?

Det allra enklaste är att hålla reda på vilka tjänster man tillåter köras på maskinen, och håller koll på de olika programmen man installerar. Vill man vara absolut säker kopplar man bort internet helt och hållet på en dator med viktiga dokument. Datorer är så billiga idag att man kan ha 2 stycken, en att surfa med och den andra att jobba på.
Vill man lägga ner någon tusenlapp på en bra brandvägg/virusprogram/VPN är man i alla fall hyggligt säker även på internet.
Själv har jag 2 datorer, och den jag surfar med har jag Avast internet security med VPN på, den säkerheten fungerar bra.

första sak jag kommer på är, är det en router (konsument skit) eller en riktig brandvägg som företag använder.

har du en router så AV med upnp, har du företagsbrandvägg så beror det på vilka tjänster du kör.

"något olämpligt skulle ta sig in"... VART??
in i din router/brandvägg, ditt interna nätverk eller till de tjänster du delar med dig?

utan specifik info så kommer vi bara gissa oss då vi kan faktiskt inte hjälpa dig utan mer direkt info från dig.

Brandvägg låter tryggt och bra men hade folk förstått vad det var skulle de inte vara så galna i dem. En brandvägg är ett program som förbjuder andra program att kommunicera. Men har man inga fientliga program och inga virus så finns det inget man behöver stoppa. Satsa därför resurserna på att göra dina säkerhetsuppdateringar och på ett bra antivirusprogram.

Och utgående portar sen. Om ett fientligt program är installerat som vill och kan kommunicera utan din vetskap så kommer det såklart använda port 80 precis som de flesta andra program gör nuförtiden (just pga att amatörer kör en massa brandväggsprogram som blockerar övriga portar) och den lär du väl inte vilja blockera?

Installerade ZoneAlarm idag nu på morgonen, efter att mitt Norton säkerhetspaket självdog, men kände mig lite irriterad när en reklamruta for upp i hörnet på skärmen och funderade på att avinstallera skiten, vilket ju du nu har bekräftat inte vore helt uppåt väggarna.

För vad ska jag ha skiten till om ZA-skaparna nu skräddarsyr sina produkter efter normalt (o)kunniga användare, som mig, så att det _inte_ ska _krocka_ med något annat för användaren, vilket brandväggar enligt mig ska vara till för - att krocka (avvisera) vid in/ut-farter!?

I övrigt kör jag Malwarebytes, VPN, keyscrambler, sandboxie, adguard, adwcleaner, junkware removal, hitman pro, "säkerhetsnojjigt bögprogram för dummies 511"...
Behövs en brandvägg alls för en normalanvändare (minus tysk bögporrtittande) egentligen?

Körde Komodo tidigare och det blev en jädra massa fylla i rutor av "tillåta/neka" hela tiden samt att varje gång jag ville lira blev jag tvungen att ställa om till nåt "game mode". ZoneAlarm här är ju helt tyst, förutom reklamen om att köpa en (fungerande?) premium version då.

Utan en brandvägg så är det raka vägen in i din dator, med undantag för den inbyggda i routern. Men eftersom du frågar om brandvägg är nödvändig så ställer jag motfrågan; Har du router / gateway eller är datorn kopplat direkt in i uttaget?