Quels sont les risques associés à l'access anonyme du LAN à Internet?

J'ai un réseau d'environ 60 users qui ont access à Internet via ISA Server 2004 et un pare-feu matériel. Bien sûr, j'ai toujours bloqué les requests anonymes vers le monde extérieur.

Nous installons un nouveau logiciel qui doit searchr des données à partir d'un site Web particulier et la seule façon d'y travailler est si j'autorise les requests anonymes à travers le pare-feu.

Suis-je un risque énorme, ou est-ce que je viens d'être trop prudent dans le passé?

2 Solutions collect form web for “Quels sont les risques associés à l'access anonyme du LAN à Internet?”

Il semble que vous utilisez la fonctionnalité d'authentification du proxy Web ISA pour authentifier l'access des users aux sites Web. Maintenant, vous avez un logiciel qui ne peut pas gérer l'authentification par proxy et, en tant que tel, vous êtes obligé de décomposer et d'autoriser l'access anonyme au site auquel le logiciel sans proxy souhaite accéder.

À mon avis, ouvrir un access HTTP anonyme à un seul site, en supposant que le site ne possède aucune fonctionnalité "proxy" ou "proxy" (pensez Google Translate, le cache Google, etc.), n'est probablement pas une très grosse affaire.

Si le logiciel fonctionne réellement sur vos ordinateurs clients et que vous êtes déterminé à avoir une authentification par user, vous pouvez envisager de déployer Microsoft Firewall Client sur vos ordinateurs clients. Le client du pare-feu se calque dans l'API Windows Sockets (ce qui est plutôt une astuce intelligente) et permet l'autorisation par user et l'audit des connections TCP via le server ISA à partir des ordinateurs clients. Étant donné que toute l'authentification se produit au niveau des sockets, il n'y a pas d'authentification par proxy HTTP.

Oui, c'est un risque. Un user malveillant pourrait utiliser votre connection pour envoyer des courriers indésirables, cela peut être évité en bloquant le tcp 25 sortant (smtp) et le tcp 465 (smtps). Il y a quelques années, il était très courant pour les vers (comme blaster) de searchr le port tcp 445 et de se propager à l'aide d'une des nombreuses vulnérabilités de windows dcom / rpc. Cela pourrait entraîner la remise d'un ordre de cessez-vous et de désistement (C & D) contre vous. Dans un autre cas, un pirate malveillant pourrait utiliser votre connection pour effectuer des attaques en toute security. Ou un autre scnario est un pirate malveillant pourrait parsingr les gammes IP par le Département de la Défense, ce qui entraînera la désactivation de votre connection Internet en quelques jours, ce qui constitue une attaque de déni de service désagréable.

  • Envoyer un courrier électronique lorsque vous ouvrez une session
  • Comment vérifier si un server Linux est propre à partir de rootkits / backdoors / botnets etc.?
  • nouvel user et problèmes avec la configuration de la key ssh (pub vs pem files)
  • Surveillez l'activité shell d'un utilisateur sur votre système Unix?
  • Multi-user PHP virtualhosting environnement et security
  • / dev / shm & / proc durcissement
  • Pourquoi certaines grandes entresockets sont-elles toujours préoccupées par la security du cloud?
  • Comment garantir qu'un mot de passe entré dans la command line ne soit pas enregistré sur le server Linux?
  • Sécurité par pare-feu - Pots de miel et casseroles - pensées?
  • Le nd / pam ldap peut-il envoyer un mot de passe au server ldap déjà débranché?
  • Changer l'EUID du process d'exécution
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.