avantages de fermer un port où aucun service n'est en cours d'exécution


9

Y a-t-il des avantages à fermer un port où aucun service n'est en cours d'exécution?

Qu'est-ce que je gagne en mettant fin à une connexion au niveau iptables au lieu de ce qui se passe ensuite (je suppose OS).

Réponses:


15

J'irais dans l'autre sens et bloquerais tous les ports. Ouvrez-les selon vos besoins. Cela présente l'avantage que si vous démarrez un service sans le savoir, votre machine n'est pas vulnérable.


Je pense que si cela se développait, cela aiderait plus les noobs, mais excellente réponse
WojonsTech

bonne politique, mais pour de nombreux administrateurs, tout est bloqué sans comprendre comment Internet fonctionne (par exemple, tous les icmp), ce qui change la façon dont les choses fonctionnent et rend la vie difficile (par exemple, rfc1435, ne peut pas utiliser ping pour diagnostiquer le problème, etc.). Lisez également un article dans usenix mag (très ancienne édition) sur la façon dont un superadmin n'avait pas de politique ouverte (c'est-à-dire pas de pare-feu) car son serveur était très bien entretenu. Dommage, seuls quelques-uns sont aussi bons que lui.
imel96

5

L'avantage est que vous pouvez utiliser le port en toute sécurité. De nombreux programmes utilisent un port pseudo-aléatoire ou peuvent être programmés pour utiliser un port. Dans les deux cas, si vous ne fermez pas le port, ils peuvent être accessibles depuis d'autres hôtes.

Comme François l'a fait remarquer, une politique fermée est plus sûre. Commencez avec tous les ports fermés et ouvrez ceux dont vous avez besoin dans la direction appropriée. Il est courant d'exiger des services pour lesquels vous n'avez pas ou ne voulez pas de serveur local. Le DNS est généralement requis, mais vous n'avez pas besoin d'autoriser les demandes entrantes. Plusieurs types ICMP (3,4,11) sont requis pour une fonctionnalité réseau appropriée, mais d'autres peuvent être bloqués en toute sécurité. Il est courant d'activer echo(8) de manière sélective, ce qui devrait activer les echo-replymessages (0) entrants si les relatedpaquets sont acceptés.

La plupart des constructeurs de pare-feu tels que Shorewall autoriseront ces ports dans leur exemple ou leurs jeux de règles par défaut.


0

Comme les autres réponses l'ont indiqué, c'est généralement une politique fermée qui est plus sûre que de bloquer uniquement certains services.

Par exemple, supposons que vous installiez un service rouge qui commence à écouter sur un port aléatoire et que vous téléphoniez à la maison. Le gars au chapeau noir qui a écrit le logiciel pourrait potentiellement effectuer des actions non sollicitées via leur service.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.