zalety zamknięcia portu, w którym nie działają żadne usługi

9

Czy są zalety zamykania portu, w którym nie działają żadne usługi?

Co zyskuję, kończąc połączenie na poziomie iptables zamiast tego, co robi dalej (tak sądzę OS).

wlf
źródło

Odpowiedzi:

15

Wybrałbym inną trasę i zablokowałbym wszystkie porty. Otwórz je, gdy potrzebujesz usługi. Zaletą tego jest to, że jeśli nieświadomie uruchomisz usługę, twój komputer nie będzie podatny na ataki.

Francois Wolmarans
źródło
Myślę, że jeśli to się rozszerzy, to pomoże noobom więcej, ale świetna odpowiedź
WojonsTech
dobra polityka, ale dla wielu administratorów blokuje wszystko bez zrozumienia, jak działa Internet (np. wszystkie icmp), które zmieniają sposób działania i utrudniają życie (np. rfc1435, nie mogą użyć polecenia ping do zdiagnozowania problemu itp.). Przeczytaj także artykuł w usenix mag (bardzo stare wydanie), w jaki sposób superadmin nie miał otwartych zasad (tj. Bez zapory ogniowej), ponieważ jego serwer był bardzo dobrze utrzymany. Szkoda, że ​​tylko nieliczni są tak dobrzy jak on.
imel96
5

Zaletą jest to, że możesz bezpiecznie korzystać z portu. Wiele programów będzie korzystało z pseudolosowego portu lub można je zaprogramować do korzystania z portu. W obu przypadkach, jeśli nie zamkniesz portu, mogą one być dostępne z innych hostów.

Jak zauważył Francois, zamknięta polisa jest bezpieczniejsza. Zacznij od wszystkich portów zamkniętych i otwórz te, których potrzebujesz we właściwym kierunku. Często wymagane są usługi, dla których nie masz lub nie chcesz lokalnego serwera. DNS jest zwykle wymagany, ale nie trzeba zezwalać na przychodzące żądania. Kilka typów ICMP (3,4,11) jest wymaganych do prawidłowego działania sieci, ale inne mogą być bezpiecznie zablokowane. Powszechne jest echoselektywne włączanie (8), które powinno włączać wiadomości przychodzące echo-reply(0), jeśli relatedpakiety są akceptowane.

Większość konstruktorów zapory, takich jak Shorewall , zezwala na te porty w ich przykładowych lub domyślnych zestawach reguł.

BillThor
źródło
0

Jak podają inne odpowiedzi, ogólnie mówiąc, polityka zamknięta jest bezpieczniejsza niż tylko blokowanie niektórych usług.

Załóżmy na przykład, że instalujesz usługę rouge, która zaczyna nasłuchiwać na losowym porcie i dzwoni do domu. Facet w czarnym kapeluszu, który napisał oprogramowanie, może potencjalnie wykonywać niechciane działania za pośrednictwem swoich usług.

Imlach
źródło