Преимущества в закрытии порта, где не работает ни один сервис

9

Есть ли преимущества в закрытии порта, где не запущены никакие службы?

Что я получаю при разрыве соединения на уровне iptables вместо того, что делает дальше (я думаю, ОС).

WLF
источник

Ответы:

15

Я бы пошел другим путем и заблокировал бы все порты. Открывайте их по мере необходимости. Это дает то преимущество, что если вы невольно запускаете службу, ваша машина не уязвима.

Франсуа Вольмаранс
источник
Я думаю, что если это будет расширено, это поможет новичкам, но отличный ответ
WojonsTech
хорошая политика, но для многих администраторов все блокируется без понимания того, как работает интернет (например, все icmp), которые меняют работу и усложняют жизнь (например, rfc1435, не могут использовать ping для диагностики проблемы и т. д.). Также прочитайте статью в usenix mag (очень старая редакция) о том, что у суперадмина не было открытой политики (т.е. нет брандмауэра), потому что его сервер очень хорошо обслуживался. Жаль только немногие так же хороши, как и он.
imel96
5

Преимущество в том, что вы можете безопасно использовать порт. Многие программы используют псевдослучайный порт или могут быть запрограммированы на использование порта. В любом случае, если вы не закроете порт, они могут быть доступны с других хостов.

Как отметил Франсуа, закрытая политика безопаснее. Начните со всех закрытых портов и откройте те, которые вам нужны, в соответствующем направлении. Обычно требуются услуги, для которых у вас нет локального сервера. DNS обычно требуется, но вам не нужно разрешать входящие запросы. Для правильной работы сети требуется несколько типов ICMP (3,4,11), но другие могут быть безопасно заблокированы. Распространено включать echo(8) выборочно, что должно включать входящие echo-reply(0) сообщения, если relatedпакеты принимаются.

Большинство сборщиков брандмауэров, таких как Shorewall , разрешают использовать эти порты в своих примерах или наборах правил по умолчанию.

BillThor
источник
0

Как указывалось в других ответах, в целом закрытая политика безопаснее, чем блокировка определенных служб.

Например, допустим, вы установили службу румян, которая начинает прослушивать случайный порт, и звонили домой. Парень из черной шляпы, который написал программное обеспечение, потенциально может выполнять нежелательные действия через свой сервис.

Imlach
источник