Le blocage du trafic sortant est généralement utile pour limiter ce qu'un attaquant peut faire une fois qu'il a compromis un système sur votre réseau. Le blocage du trafic sortant peut aider à empêcher que cela ne se produise, il ne s'agit donc pas tant de vous empêcher d'être infecté que de le rendre moins grave lorsqu'il se produit.
Pourquoi est-il recommandé de bloquer les ports sortants inutilisés ?
Parce que vous voulez restreindre mais pas empêcher l'accès
Bien qu'il ne s'agisse pas d'une mesure de sécurité infaillible, elle élimine la grande majorité du trafic malveillant, vous permettant de vous concentrer votre attention sur les attaquants les plus avancés.
Faut-il bloquer les connexions entrantes ?
Dans l'ensemble, c'est à peu près la même chose. Les connexions entrantes vers programmes sont bloquées à moins qu'elles ne figurent sur la liste autorisée … Vous disposez également d'un profil de réseau public et privé pour le pare-feu et pouvez contrôler exactement quel programme peut communiquer sur le réseau privé par opposition sur Internet.
Quels ports doivent toujours être bloqués ?
Par exemple, le SANS Institute recommande de bloquer le trafic sortant qui utilise les ports suivants:
- MS RPC – TCP & UDP port 135.
- NetBIOS/IP – Ports TCP et UDP 137-139.
- SMB/IP – Port TCP 445.
- Trivial File Transfer Protocol (TFTP) – Port UDP 69.
- Syslog – Port UDP 514.
Qu'est-ce qu'une connexion sortante ?
Outbound fait référence aux connexions sortant vers un appareil spécifique à partir d'un appareil/hôte. par exemple. Un navigateur Web se connectant à votre serveur Web est une connexion sortante (vers le serveur Web)