Принципы обеспечения исходящей фильтрации
Основные руководящие принципы обеспечения исходящей фильтрации такие же, как и определяющие правила входной фильтрации, — устройства должны делать только то, для чего они предназначены, то есть почтовому серверу должно быть разрешено только обслуживать и передавать почту, web-серверу — обслуживать web-контент, а DNS-сервер должен обслуживать только DNS-запросы и т. д. Для гарантии того, что используется именно эта политика, необходимо более тщательно сдерживать упоминавшиеся ранее угрозы. Там, где это возможно, необходимо заставить клиентов пользоваться услугами внутренних служб, а не интернет-сервисов. Например, при наличии в сети собственного DNS-сервера необходимо отменить для клиентов возможность обработки имен узлов при помощи внешних DNS-серверов. Если у клиентов будет такая возможность, то существует риск, что при разрешении имени внутреннего узла через внешний DNS-сервер они «раскроют» имена внутренних узлов посторонним лицам. Например, в ОС OpenBSD это ограничение реализуется с помощью следующего правила:
rclr on $INT_IF inet proto { tcp, udp } from $INT_IF:network to any port 53 -> $DNS_SERVER port 53
Конечно же, необходимо в макросе INTJF указать интерфейс, взаимодействующий с внутренней сетью, а в DNSSERVER — IP-адрес внутреннего DNS-сервера.
Аналогично, если имеется внутренний почтовый сервер, то почта компании не должна «ходить» по Интернету. Вы же не хотите, чтобы сотрудники имели возможность подключаться к серверам за пределами сети? Достигается это использованием подобного правила:
rdr on $INT IF inet proto tcp from $INT_IF:network to any port 25 -> $SMTP_HOST port 25
Исходящая фильтрация помогает также предотвратить IP-спуфинг на внешнем интерфейсе, находящемся на границе сети. Можно проверить, что пакеты, покидающие вашу сеть, имеют адрес источника, попадающий в ваше адресное пространство. За счет фильтрации остального трафика вы сможете гарантировать, что любая атака типа «IP-спуфинг», выполняемая из вашей сети или маршрутизируемая через нее, будет сброшена до того, как пакеты покинут сеть.