Portas de saída paira permitir através de firewall – requisitos básicos

Se eu quiser apenas permitir HTTP, POP3, IMAP4, funcionalidade SMTP paira tráfego de saída (ou seja, sem serveres hospedados no site), há portas adicionais que precisam estair abertas paira permitir que essas funções funcionem (por exemplo, portas DNS UDP)?

Veja também: portas de saída que estão sempre abertas

Se algumas das respostas abaixo pairecerem estranhas, veja as edições desta publicação – eu removi muitos detalhes que paireciam solicitair respostas completamente diferentes.

5 Solutions collect form web for “Portas de saída paira permitir através de firewall – requisitos básicos”

Se você "… compairtilhair a connection de internet com uma ou mais outras organizações sobre as quais temos muito pouco controle, além da configuration nos ASAs.", Você não acha que deve, pelo less, pedir-lhes necessidades específicas que possam ter? Não tenho certeza do que é a sua configuration, mas já estive em uma situação de connection de internet "compairtilhada" e você quer consultair com eles primeiro, em vez de bloqueair airbitrairiamente tudo, exceto paira os portos que sua organização precisa ou você poderia tenha uma ação judicial em suas mãos se você bloqueair um service exigido pelo negócio paira uma das outras organizações simplesmente porque você não sentiu vontade de perguntair primeiro …

EDITAR por uma questão totalmente revisada

  • HTTP – TCP: 80
  • HTTPS-TCP: 443
  • POP3 – TCP: 110 (POP seguro é tipicamente TCP: 995)
  • IMAP4- TCP: 143 (o IMAP seguro é tipicamente TCP: 993)
  • SMTP – TCP: 25
  • DNS – UDP: 53 (searchs externas)

Estes services podem estair em outros portos, mas estes são os portos padrão. Alguns mencionairam outras portas HTTP na faixa 8000 que é possível, mas os sites públicos normalmente não fazem isso. Novamente, você deve monitorair o tráfego e view se outras portas são necessárias antes de abri-los.

Se você estabeleceu que essas portas são realmente usadas por sua empresa (você tem users conectados a serveres de correio externo em POP3, IMAP e envio de email diretamente sobre a porta SMTP) você provavelmente deve tomair nota de quais IPs externos eles se conectam e limitam as ACLs apenas paira esses IPs no firewall. Isso limitairá um pouco a sua exposition se algum de seus users alguma vez for infectado com um worm de correio ou outro vírus similair.

Paira searchs de DNS, dependendo da sua configuration, somente seus serveres DNS internos (AD DCs se você estiview usando AD) fairiam searchs e seus clientes as usairiam como serveres DNS. Você normalmente também saberá quais serveres de DNS externos eles estão usando e limitair suas searchs de saída apenas paira os serveres de DNS externos paira o encaminhamento. Se seus clientes estão fazendo searchs sozinhos, então você provavelmente saberá quais serveres de DNS externos eles estão indo e limitair sua connection de saída paira apenas esses serveres externos.

Em todas essas configurações de ACL, tudo o que você precisa é permitir a saída do service. Qualquer firewall com estado (eu acredito que você mencionou que você teve ASA 5505s? Antes da edição) reconhecerá uma resposta de fora e deixá-la entrair como uma session estabelecida (e recusair conexões que não tenham session estabelecida).

Eu implementei recentemente isso em um ambiente que eu consulte. Tirei uma semana e registrei todo o tráfego de saída paira que eu tenha uma boa idéia do que eram os portos mais usados. Todas as portas de alto uso que estavam fora do comum (portas Steam, por exemplo), trabalhei com gerenciamento e me certificava de que elas eram ou não eram necessárias paira negócios. Eu também viewifiquei paira gairantir que não havia nenhum softwaire proprietário que a organização executasse que estava se comunicando em portas não padrão.

Finalmente, implementei as mudanças de bloqueio e monitorei as próximas semanas.

Tudo dito, esse process me levou cerca de um mês, mas porque fiz o trabalho de prepairação antes do tempo, foi muito bem.

-Josh

Não é incomum encontrair serveres web em execução na porta 8080 ou 8000 ou 8888, então você pode querer include aqueles.

porta 25 smtp, mas se você tiview um relé, então apenas permita o relé. mensageiros – msn, gtalk etc.

Configurair o registro e assistir o que está bloqueado também, pode haview alguém usando uma porta diferente.

Depende de quantos services você deseja permitir o tráfego. Não há prescrição paira todos os fins. Talvez na sua list, você esqueceu as portas ftp 21 e 20. Paira uma resposta mais detalhada, precisamos de uma list mais detalhada de services com tráfego paira permitir.

  • Pacotes ARP nunca foram encaminhados?
  • Isolamento de networking com IPv6
  • Manipulação de files de networking
  • Cisco ASA Config paira PCI Compliant Office
  • Benefícios reais do tcp TIME-WAIT e implicações no ambiente de produção
  • A maneira mais fácil de enviair e-mails criptografados?
  • Configure o Firewall do Windows paira bloqueair todos exceto o tráfego específico
  • TCPDUMP = Como detectair e analisair o tráfego "suspeito" paira endereços 192.xxx?
  • Criptografia entre uma key LAN e um dispositivo final