Filtrado de salida
En redes de computadoras, el filtrado de salida es la práctica de monitorear y potencialmente restringir el flujo de información saliente de una red a otra. Típicamente es información de una red privada de ordenadores TCP/IP al Internet la que es controlada.
Los paquetes TCP/IP que están siendo enviados fuera de la red interna son examinados vía un router, firewall, o dispositivo de borde similar. A los paquetes que no cumplen las políticas de seguridad no se les permite salir - se les deniega la "salida".[1]
El filtrado de salida ayuda a asegurar que el tráfico malicioso o no autorizado nunca deja la red interna.
En una red corporativa, las recomendaciones típicas son que todo tráfico excepto aquel emergiendo de un grupo seleccionado de servidores debería tener denegada la salida.[2][3][4][5] Las restricciones pueden ir más allá, al punto que sólo ciertos protocolos como HTTP, correo electrónico, y DNS sean permitidos. Estaciones de trabajo de usuarios deberían entonces ser configuradas manualmente o vía proxy auto-config para utilizar uno de los servidores permitidos como proxy.
Las redes corporativas también típicamente tienen un número limitado de bloques de dirección interna en uso. Un dispositivo de borde en la frontera entre la red corporativa interna y redes externas (como el Internet) suele tener controles de salida contra los paquetes que dejan la red interna, verificando que la dirección de IP de la fuente en todo los paquetes salientes está dentro del rango de bloques de dirección internos utilizados.
El filtrado de salida puede requerir cambios de políticas y trabajo administrativo cada vez que una nueva aplicación requiera acceso a la red externa. Por esta razón el filtrado de salida es una característica poco común en las redes de consumidores y de pequeños negocios empresariales.
PCI DSS, requiere que haya filtrado de salida en cualquier servidor en el entorno del titular de la tarjeta. Esto está descrito en PCI-DSS v3.0, requisito 1.3.3.
Véase también
- Filtro de contenido
- Filtrado de ingreso
- Web Proxy Autodiscovery Protocol
Referencias
- ↑ Robert Gezelter (1995) Security on the Internet Chapter 23 in Hutt, Bosworth, and Hoytt (1995) "Computer Security Handbook, Third Edition", Wiley, section 23.6(b), pp 23-12, et seq.
- ↑ «Malware Threats and Mitigation Strategies» (PDF). Us-cert.gov. Consultado el 20 de junio de 2015.
- ↑ «Holistic View of Securing IP-based Industrial Control System Networks» (PDF). Ics-cert.us-cert.gov. Archivado desde el original el 23 de enero de 2014. Consultado el 20 de junio de 2015.
- ↑ «Mitigation Monday # 2» (PDF). Nsa.gov. Archivado desde el original el 19 de junio de 2015. Consultado el 20 de junio de 2015.
- ↑ «Controlling Outbound DNS Access». United States Computer Emergency Readiness Team. U.S. CERT.
Enlaces externos
- Pcisecuritystandards.org (en inglés)
- Pcisecuritystandards.org PCI DSS v3 (en inglés)
- Sans.org
| Control de autoridades |
|
|---|
Datos: Q5348262
