我已经知道如何使用 设置防火墙iptables,但是在访问 IT 安全部门后,他们说我需要过滤OUTPUT,但是,这对我来说毫无意义,我真的可以找到我需要这样做的场景。所以,这是我的第一个问题:
我真的需要过滤OUTPUT吗?
我OUTPUT默认接受所有并且没有规则。这是安全漏洞吗?
他们还说我有代表安全漏洞的规则,我不同意。让我们FORWARD以此为例:
-P FORWARD DROP
-A FORWARD -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -s XX.XX.XX.XX/24 -d XX.XX.XX.XX/32 -p tcp --dport 80 -j ACCEPT
他们说接受ESTABLISHED而不指定source和destination作为第一条规则是安全漏洞。真的吗?这是另一个安全漏洞吗?ACCEPT ESTABLISHED不指定sourceand是不好的做法destination?
取决于您想要的安全程度。过滤出站流量确实提高了安全性并减少了攻击向量等。
就个人而言,我只过滤出站 SMTP(没有客户端应该连接到外部 SMTP 服务器)和 DNS(以防止我受到恶意软件的影响,这些恶意软件会更改用户的 DNS 服务器以获取外部主机)。
不过,许多组织有更严格的出站规则。如果您的安全部门说您需要过滤出站,那么您需要过滤出站。现在,您可以与他们合作来确定他们需要什么级别的过滤。
从安全角度来看,该策略通常是“所有不允许的都将被拒绝”,在这方面,
OUTPUT链上的过滤属于该一揽子策略。该
OUTPUT链涉及来自运行 iptables 的设备的传出 TCP/IP 数据包和连接,而不是通过防火墙的数据包。管理员应该知道设备的正常使用和预期用途是什么,并且还应该能够为
OUTPUT链生成合适的过滤规则。对于一个不能太多的防火墙......
我希望可能是 DNS、NTP 和 syslog 流量到特定主机。
在服务器的实践中,我不经常看到
OUTPUT链上的过滤,每个服务器只是选择性地打开服务和过滤器INPUT,而传出的流量在网络边界(网段)上被过滤。这个想法是主机级别的防火墙也可以从主机进行修改,因此对于恶意管理员来说并没有太大的障碍,一旦主机被完全破坏,也不会提供太多的保护。过滤传出流量,即通过网络边界上的防火墙将流量从“内部”路由(转发)到“外部”(反之亦然)通常称为出口过滤,并且发生在
FORWARD链中,而不是OUTPUT链中。出口过滤是一件好事,绝对是你应该做的事情。