Output Policy ACCEPT = unsicher?

[factorx]

Mir ist mal aufgefallen, dass ein großer Anteil an SOHO Routern mit integrierter Firewall standardmäßig alle Pakete, die das LAN verlassen, durchlassen. Dies wäre ja in etwa gleichzusetzen mit einer ACCEPT Policy in der Output Chain. Wie ist diese Standardeinstellung zu bewerten? Findet ihr dies konzeptionell unsicher? Wäre eine Policy mit DROP besser, wenn stattdessen die wichtigsten benötigten Ports explizit nach außen geöffnet wären, oder ist es sowieso egal, da einzig und allein die (vertrauenswürdigen) Clients von innen Pakete nach draußen schicken könnten? Als Beispiel wäre das zu schützende Netzwerksegment eine kleine Firma mit ca. 20-30 Rechnern.

Lasst mich eure Meinungen dazu hören

 

[hoernchen]

Wie ist diese Standardeinstellung zu bewerten? Findet ihr dies konzeptionell unsicher?

kurz und knapp : bullshit.

oder ist es sowieso egal, da einzig und allein die (vertrauenswürdigen) Clients von innen Pakete nach draußen schicken könnten?

etwas gefaehrlich. sollte ein rechner uebernommen oder vertrojanert oder sonst was sein, sendet er munter und fleissig alles raus was gott verboten hat. siehe windowsfirewall.