vantagens em fechar uma porta onde nenhum serviço está sendo executado

9

Existem vantagens em fechar uma porta onde nenhum serviço está sendo executado?

O que eu ganho ao encerrar uma conexão no nível do iptables em vez do que ele faz a seguir (eu acho que SO).

wlf
fonte

Respostas:

15

Eu iria pela outra rota e bloquearia todas as portas. Abra-os conforme você precisar do serviço. Isso tem a vantagem de que, se você iniciar um serviço sem saber, sua máquina não estará vulnerável.

Francois Wolmarans
fonte
Eu acho que se esta foi expandida em que vai ajudar noobs mais, mas grande resposta
WojonsTech
boa política, mas para muitos administradores bloqueia tudo sem entender como a Internet funciona (por exemplo, todo o icmp), que muda a maneira como as coisas funcionam e dificulta a vida (por exemplo, rfc1435, não é possível usar o ping para diagnosticar problemas etc.). Leia também um artigo na usenix mag (edição muito antiga) de como um superadmin não tinha política aberta (ou seja, sem firewall) porque seu servidor era muito bem mantido. Pena que apenas alguns são tão bons quanto ele.
Imel96
5

A vantagem é que você pode usar a porta com segurança. Muitos programas usarão uma porta pseudo-aleatória ou podem ser programados para usar uma porta. Em ambos os casos, se você não fechar a porta, eles poderão ser acessíveis a partir de outros hosts.

Como François observou, uma política fechada é mais segura. Comece com todas as portas fechadas e abra as que você precisa na direção apropriada. É comum exigir serviços para os quais você não possui ou deseja um servidor local. O DNS geralmente é necessário, mas você não precisa permitir solicitações de entrada. Vários tipos de ICMP (3,4,11) são necessários para a funcionalidade adequada da rede, mas outros podem ser bloqueados com segurança. É comum habilitar echo(8) seletivamente, o que deve habilitar as echo-replymensagens recebidas (0) se os relatedpacotes forem aceitos.

A maioria dos construtores de firewall, como o Shorewall , permitirá essas portas em seus exemplos ou conjuntos de regras padrão.

BillThor
fonte
0

Como as outras respostas declararam, geralmente é uma política fechada mais segura do que apenas bloquear determinados serviços.

Por exemplo, suponha que você instale um serviço de rouge que comece a ouvir em uma porta aleatória e telefone para casa. O cara de chapéu preto que escreveu o software pode potencialmente executar ações não solicitadas através de seus serviços.

Imlach
fonte