Чтобы решить проблему подключения авторизации facebook на нашем сервере, мы решили открыть все исходящие соединения / порты в брандмауэре, чтобы проверить, действительно ли это проблема безопасности.
после разрешения соединение с facebook работало.
однако я понятия не имею, каковы риски, если мы полностью реализуем эти настройки.
Спасибо!
Я думаю, что «распространенной мудростью», стоящей за блокировкой трафика, исходящего из сети, всегда было что-то вроде «Плохие люди могут отправлять трафик из вашей сети так, как вы этого не хотите». Конечно, я видел удаленные эксплойты, которые блокировались агрессивными брандмауэрами, предотвращающими доступ кода эксплойта к FTP для загрузки своих полезных данных и т. Д. В ограничении исходящих портов есть определенная ценность.
Сказав это, тем не менее, все может быть туннелировано по другому протоколу (произвольный TCP через HTTP, SSH через DNS, IP через голубя и т. Д.), Поэтому ограничение исходящих портов для ограничения исходящего трафика создает впечатление ложного чувства безопасности. . Если вы не проводите проверку выходящего трафика на уровне 7, вы не можете быть уверены, что объект, отправляющий исходящие запросы на TCP-порт 80, действительно является HTTP-клиентом. Даже если это HTTP-клиент, если вы не слишком сурово относитесь к проверке уровня 7, это может быть HTTP-клиент, который туннелирует произвольные данные через HTTP.
Ограничение исходящих портов - хорошая идея, но не дайте себя обмануть, думая, что это большая «победа в безопасности». «Умное» программное обеспечение (malicioius или другое - Skype - хороший пример программы, которая очень хорошо обрабатывает отфильтрованные исходящие порты) будет работать вокруг вас.
Кстати, я не знаю, что Facebook нужно что-то, кроме HTTP и HTTPS.
Если у вас есть компьютеры с Windows в локальной сети, я настоятельно рекомендую закрыть хотя бы порт 25 для всех, кроме почтовых серверов. Некоторые вирусы / черви заставляют зараженную машину рассылать спам-сообщения. Это может очень быстро попасть в черный список, что может серьезно повлиять на вашу способность отправлять легитимные электронные письма. Это произошло там, где я работаю, сразу после того, как я начал там работать, и потребовалось немало усилий, чтобы меня исключили из этих списков. Невозможно определить, сколько доходов компания потеряла в результате, но мы знаем, что потеряли по крайней мере некоторых клиентов.
Обычно гораздо важнее заблокировать входящий связи, чем исходящий единицы; блокирование исходящих соединений имеет смысл только в том случае, если вы опасаетесь, что на вашем сервере может работать что-то, чему вы не доверяете, и это обычно не относится к системам Linux (тем более с системой Windows, которая может легко заразиться червями), и обычно серверные системы, доступ к которым есть только у администраторов, что снижает риск случайной загрузки чего-то плохого из Интернета.
Тем не менее, вам не нужно открывать ничего, кроме исходящего HTTP (80) и HTTPS (443), чтобы получить доступ к Facebook, который является веб-сайтом и не использует никаких других протоколов.
Помимо рассылки спама через SMTP, я видел одну вещь: зараженная машина во внутренней сети звонила домой на удаленный IRC-сервер. Это классически используется в бот-сети и может выиграть от ограничения исходящих соединений.
Однако, как говорили другие, по мере того, как атаки становятся более изощренными, все эти вещи можно будет обойти.