I pericoli dell'apertura di una vasta gamma di porte? (Mosh)

Naviga le tue risposte
29

Perché in genere configuriamo i firewall per filtrare tutto il traffico che non è specificamente consentito? Questo è solo un ulteriore livello di sicurezza per la difesa a fondo che non ci compra nulla se non stiamo eseguendo malware sul nostro sistema?

Esistono pericoli nell'apertura delle porte da 60000 a 61000 per le connessioni UDP in entrata che sono significativamente meno sicure di quelle che si aprono su poche porte?

Ho appena sentito parlare di mosh che si pubblicizza come un modo migliore di fare ssh mobile (tramite wifi / cellulare). Mosh usa UDP piuttosto che TCP, quindi se inserisci brevemente un tunnel o il tuo indirizzo IP cambia (passando alle torri dei cellulari), non devi aspettare di tornare dal controllo della congestione o stabilire una nuova sessione ssh. Fondamentalmente mosh usa ssh per avviare in remoto un mosh-server come utente non privilegiato, scambia una chiave AES-OCB usando ssh e quindi invia / riceve pacchetti crittografati (con numeri di sequenza) a una porta nell'intervallo 60000-61000, che dovresti configurare il firewall per l'apertura.

Sono un po 'a disagio nell'apertura di ~ 1000 porte per le connessioni in ingresso (UDP), ma non riesco a pensare ad una buona ragione per questo. Se nessun software sta ascoltando i dati su quella porta, viene semplicemente ignorato, giusto? (In edit: no - in realtà indirizza il server a rimandare una risposta irraggiungibile alla destinazione ICMP (ping)). Immagino che se avessi malware in esecuzione sul mio server, potrebbe essere in attesa di ascoltare le istruzioni dagli indirizzi IP falsificati su una di queste porte aperte. Tuttavia, il malware in esecuzione su un sistema connesso a Internet già potrebbe stabilire connessioni / scaricare informazioni da altri server malware (anche se dovrebbero conoscere un indirizzo IP) e recuperare le istruzioni, quindi questo non rende la sicurezza molto meno sicura.

MODIFICA: Interessante, ho appena visto questa altra domanda che mi ha portato a leggi su UDP_flood_attack . Suppongo inoltre che avrei bisogno in qualche modo di disabilitare il mio sistema dall'invio di risposte di destinazione non raggiungibile per le porte UDP appena aperte.

    
posta dr jimbob 12.04.2012 - 22:47
fonte

4 risposte

11

Oltre alla risposta di Justin in merito all'apertura involontaria delle applicazioni per l'accesso da remoto, ricorda che anche se nulla sta ascoltando specificamente per una connessione, il sistema operativo sarà SEMPRE in ascolto - se non altro per instradare / mappare all'appropriato elaborare o rifiutare o rilasciare silenziosamente il pacchetto. Pertanto, il sistema operativo è ancora un vettore di attacco specifico che può rimanere non protetto quando un firewall consente al flusso di passare a una porta "inattiva".

Tuttavia, a parità di condizioni in questo scenario, l'apertura di una porta inattiva o di 1000 porte inattive fa poca differenza. Ma sicuramente fai attenzione al consiglio di principio del minimo privilegio.

    
risposta data 12.04.2012 - 23:04
fonte
10

Per quanto ho capito, Mosh non ha davvero bisogno di mille porte per funzionare; ne ha bisogno solo uno (per cliente). Quindi puoi aprire qualsiasi porta singola e dire a Mosh di usarlo (da il manuale ): 

mosh -p 60000 my.server

Qual è la ragione per selezionare la porta a caso? Questo non capisco.

[UPDATE] non seleziona una porta casuale. Cerca tra una serie di porte per trovare il primo aperto ( vedi codice ). In caso contrario, dovresti selezionare manualmente una porta libera su un sistema multiutente.

Ciò significa che hai bisogno di un numero di porte pari a quello degli utenti (persone che potrebbero utilizzare mosh) sul tuo server . Se è la tua casella, devi solo aprire la porta 60000.

    
risposta data 11.06.2012 - 18:35
fonte
6

Il problema è che l'apertura di un ampio intervallo di porte potrebbe consentire a un utente malintenzionato di esporre un'altra applicazione che potrebbe utilizzare tali porte. Ad esempio, la mia applicazione EMR utilizzata per archiviare i record dei pazienti potrebbe essere configurata per utilizzare tale intervallo di porte, ma non voglio che qualcuno da Internet non affidabile sia in grado di sfruttare tale apertura. Si tratta di applicare meno privled il più possibile. In questi scenari si vorrebbe sfruttare una VPN che avrebbe aperto tale intervallo di porte. Questo si occupa del problema dell'autenticazione e quindi dell'autorizzazione. Se stai parlando del tuo firewall esterno sulla tua DMZ, affidati solo al protocollo / porta e quindi devi essere ancora più severo.

    
risposta data 13.04.2012 - 03:38
fonte
4

Dovrebbe essere perfettamente possibile minimizzare l'intervallo di porte UDP di mosh in

link

Se ho capito correttamente questo è l'intervallo da cui il processo mittente sceglierà la porta UDP. Quindi dovrebbe essere possibile compilare un'edizione Mosh locale "narrow-range" e disporre di un criterio UDP firewall locale "narrow-range" appropriato per mosh.

Il che mi porta alla meta domanda: quanto è ristretto un intervallo abbastanza ampio perché mosh sia utile?

Se ho capito bene, è necessaria una porta per server mosh. Quindi nel caso di un server personale e l'uso abituale di tmux (= solo un client) uno per il lavoro e uno per correggere le cose è necessario.

Ma potrei sbagliarmi, non sono un programmatore C e ho scoperto mosh solo ieri.

    
risposta data 15.04.2012 - 21:59
fonte

Leggi altre domande sui tag

C'è un modo per rilevare il web server nel caso in cui non sia presente in HEADER? Quanto è affidabile SELinux? [chiuso]