C'est devenu un tarif standard pour les organisations soucieuses de la sécurité de bloquer tout autre que 80 et 443. En conséquence, de plus en plus d'applications (autres que les navigateurs Web) apprennent également à utiliser ces ports pour leurs besoins.
Les programmes naturellement malveillants le font aussi, ce qui signifie que pour avoir une réelle sécurité, les pare-feu doivent réellement examiner le flux de données et les bloquer en fonction des données d'application au lieu de simplement des ports ...
Cela semble indiquer que le blocage basé sur le port était une approche à courte vue pour commencer, un peu comme la validation d'entrée uniquement sur le client ...
Dans ce cas, ne devrions-nous pas arrêter de bloquer les ports non standard et opter pour un filtrage plus fin en premier lieu ...? Ou existe-t-il d'autres raisons de conserver l'approche de la liste blanche des ports?
Le blocage de tous les ports sauf 80 et 443 peut faire partie d'une bonne stratégie de défense en profondeur. Si c'est votre seule stratégie, alors vous avez raison, elle sera défectueuse.
Une approche à plusieurs niveaux potentielle peut être
Ce n'est qu'un exemple très simple. Une bonne stratégie de défense en profondeur comporte plusieurs couches qui, ensemble, construisent un système sécurisé.
Vous avez absolument raison. Il n'y a rien de magique à propos du port 80 ou du port 443. Il n'y a rien de intrinsèquement sûr à propos d'un port ou d'un autre, ou même d'un protocole ou d'un autre. Si vous bloquez tout sauf HTTP, tout le monde commencera simplement à utiliser HTTP. Les attaquants peuvent et se déplacent toujours plus vite que tout le reste. Ils ne sont pas limités par la maintenance de l'ancienne infrastructure.
En substance, les protocoles et les ports ne sont pas sécurisés ou non sécurisés. Les bloquer n'est qu'une autre forme de théâtre de la sécurité.
La liste blanche est généralement préférable à la liste noire. Si vous ouvrez uniquement les ports dont vous avez réellement besoin et si vous limitez ces ports dans la mesure du possible, vous avez réduit votre surface d'attaque et limité le trafic que vous devez surveiller.
Oui, 80 et 443 peuvent toujours être utilisés abusivement pour du trafic malveillant. Mais, vous élevez également la barre pour les attaques (au moins un peu) en les forçant à travers une fenêtre beaucoup plus petite, et une fenêtre sur laquelle vous pouvez plus facilement garder un œil.
Peu importe les numéros de port. Les applications qui écoutent ou se connectent sur n'importe quel port sont importantes. Utilisez la mise en réseau pour limiter les vecteurs d'attaque des applications.
Quelques suggestions: