Наши сетевые администраторы / администраторы безопасности настаивают на том, что мы должны держать общие (внешние) порты (FTP, XMPP, IMAP, IPSEC) закрытыми, поскольку это представляет больший риск для безопасности и делает нас более уязвимыми для атак. Хотя я понимаю, что этот выбор сделан с учетом требований безопасности, это в лучшем случае усложняет работу, а в худшем - усложняет работу для наших конечных пользователей / сотрудников / консультантов.
Делает ли блокировка часто используемых портов более безопасной нашу сеть в целом?
Я думаю вы имеете в виду исходящая фильтрация?
Это просто вопрос того, какой уровень риска на самом деле приемлем для вашей организации. Что касается повышения безопасности, я бы ответил квалифицированным да - вообще говоря, это хороший шаг безопасности, но он должен быть выполнен хорошо, чтобы быть эффективным (я был бы удивлен, если бы они просто специально блокировали определенные порты - более вероятно, они разрешают только определенные порты из белого списка).
Примеры сценариев, в которых это было бы полезно, - это проблемы безопасности, такие как отчеты о зомби ботнетах и ретрансляция спама, а также проблемы с использованием политики / полосы пропускания, такие как BitTorrent или потоковое видео.
Подход, который вам, вероятно, следует принять, заключался бы в том, чтобы изложить экономическое обоснование допуска протокола - и попытаться найти золотую середину, если это необходимо, например, разрешить IMAP только утвержденным серверам. Помните, что, вероятно, это была политическая причина, по которой он был введен в действие.
Я собираюсь расходиться с ответами, уже здесь, и сказать нет, почти наверняка нет. Если у вас есть ваш системы извне, а затем разрешение незашифрованных подключений к ним может раскрыть, например, идентификаторы входа, которые вы заинтересованы в обеспечении безопасности, но, поскольку мы говорим о выходной фильтрации, я предполагаю, что у вас нет таких систем, поэтому, заблокировав незашифрованные сервисов (ftp, pop, imap) вы только защищаете чужие секреты, и это не ваша работа.
Более того, это бессмысленно. Пока вы разрешаете исходящий порт 443 - а если бы это было запрещено, в любой организации, в которой я когда-либо работал, был бы бунт - у вас есть пользователи, создающие зашифрованные SSL туннели из здания слева, справа и в центре, и вы не представляете, что они через них проходят. Конечно, это может быть HTTP, но это также может быть SSH, может быть IMAP, может быть OpenVPN, может быть что угодно, если он находится внутри этого зашифрованного SSL туннеля.
Конечно, вы можете раздражать людей, блокируя исходящие другие порты, но пока вы разрешаете HTTPS, это совершенно бессмысленно с точки зрения безопасности; он не предотвратит решительного противника более чем на минуту и действительно разозлит всех ваших законных пользователей.