¿Qué es el filtrado de salida?

Filtrado de salida es el término para filtrar paquetes de datos a medida que salen de su red. Esto generalmente se realiza en un sistema de prevención de intrusiones o un firewall que monitorea el tráfico, ya sea entrante o saliente, desde la red. A menudo, esto se sumará a otros protocolos de firewall, como las Extensiones de seguridad del sistema de nombres de dominio (DNSSEC), que proporciona autenticación para dominios, y (D)TLS, que proporciona cifrado de extremo a extremo para la mayoría de los sitios web de Internet a través del tráfico HTTPS.

Laboral:

La forma más sencilla de ver cómo funciona el filtrado de salida es usar una analogía. Esto se puede hacer asegurándose de que cuando se vaya, su hijo adolescente no tenga bolsillos y todo lo que saque de la casa tenga que caber en una bolsa que solo puede contener ciertos artículos. El Filtrado de salida funciona al limitar los paquetes de datos que fluyen fuera de su red que pueden contener según las reglas que usted especifique. Esto puede ser, limitando qué protocolos aceptará su red para fluir a través de ella. También puede permitir que solo se usen ciertos puertos de un protocolo, o incluso no permitir que algunos protocolos no deseen estar en su red en absoluto.

Las dos formas principales para el filtrado de salida son mediante el uso de reglas que coincidan con el tráfico específico y los puertos TCP / UDP . El primero se llama Filtrado de salida basado en puerto y el segundo se llama Filtrado de salida basado en protocolo.

Filtrado de salida basado en puerto:

El filtrado de salida basado en puertos implica el proceso de identificar cierto tráfico que no querrá que abandone su red y bloquearlo para que no lo haga. Esto generalmente se hace especificando un rango de puertos a los que no se debe acceder en su red o que no deben tener paquetes de datos saliendo de su red. Por ejemplo, si está ejecutando un servidor web en el puerto 80, puede hacer que se bloquee cualquier tráfico que se dirija hacia puertos inferiores a 80. El filtrado de salida basado en protocolo es mucho más complejo e implica determinar el contenido del protocolo de un paquete de datos y tomar decisiones basadas en ese contenido.

Puntos clave:

• Puede filtrar el tráfico según el contenido del protocolo de un paquete de datos.
• El filtrado de salida basado en protocolos es mucho más complejo que el filtrado basado en puertos.
• El filtrado de salida basado en protocolo implica el proceso de identificar qué hay en un paquete de datos al inspeccionar su encabezado y luego tomar decisiones al respecto. 
• Esto ayuda a determinar si se debe permitir un determinado puerto o si no se debe permitir que una gama completa de protocolos abandone su red. 
• Por ejemplo, si nota que el tráfico FTP que se mueve fuera de su red a menudo contiene credenciales de usuario e información confidencial, entonces puede bloquear el tráfico FTP para que no salga de su red por completo.
• Puede filtrar el tráfico tomando decisiones sobre el contenido de un paquete de datos.

Una descripción general de las reglas de filtrado de salida:

• Las reglas que usará para especificar qué tráfico puede y qué tráfico no puede salir de su red deben ser muy específicas, ya que esta es una de las partes más importantes para garantizar que su red esté protegida. Los siguientes puntos le ayudarán a la hora de crear estas reglas:
• Una regla que deniega todo el tráfico con un protocolo o puerto en particular generalmente puede ser demasiado invasiva, ya que puede bloquear el tráfico legítimo que no debería bloquearse. 
• Asegúrese de permitir el tráfico solo si una regla lo ha permitido específicamente.

Contramedidas:

• Cambie los puertos o protocolos predeterminados para evitar el escaneo de puertos .
• Otra forma en que puede reducir la cantidad de vulnerabilidades en su red es reduciendo la cantidad de tráfico que la deja. No permita que más del 20 % de su tráfico abandone la red.
• También hay una serie de herramientas, como la herramienta Passive Scan, que se pueden usar contra sistemas y redes en el puerto 80 solo para averiguar exactamente qué tipo de tráfico está saliendo de su red. 
• También hay algunas otras herramientas de análisis estático para diferentes protocolos que se pueden usar para analizar paquetes y determinar qué tipo de información pueden contener.