TL; DR
Protegge dal dover configurare manualmente i servizi per l'ascolto solo su localhost, in quanto è necessario consentire manualmente la connettività di rete e aumenta lo sforzo che un utente malintenzionato deve esercitare per riconvertire la propria casella. Ciò significa che è uno strumento efficace sia contro gli attaccanti che con una configurazione inadeguata. Sì, dovresti eseguire un firewall.
Dettagli
Le porte hanno 2 stati principali:
- Apri (il servizio è in ascolto)
- Chiuso (non c'è niente che ascolti)
Sembra che tu abbia familiarità con i due stati: le porte sono predefinite come "chiuse", passando a "aperte" se c'è un servizio in ascolto. È molto veloce enumerare sia le porte aperte che quelle chiuse: il sistema operativo invierà effettivamente una risposta dicendo "c'è un servizio qui" (la porta è aperta), o uno che dice "non c'è servizio qui" (la porta è chiusa).
Se si utilizza un firewall, fornisce l'opzione per filtrare le porte. Per le porte filtrate, il sistema operativo non risponde affatto. Ciò significa che un utente malintenzionato deve investire più tempo per determinare gli stati della porta, in quanto non ha modo di sapere se il computer non ha inviato alcuna risposta o se la risposta è stata persa durante il trasporto.
Inoltre, se stai utilizzando un firewall, ti proteggi dall'esposizione accidentale di servizi aggiuntivi a Internet.
Ho incluso una scansione di esempio del mio desktop con il mio firewall spento (presta particolare attenzione al numero di porte scoperte e alla durata della scansione):
$ nmap 192.168.1.26
Starting Nmap 6.40 ( http://nmap.org ) at 2015-01-24 21:41 EST
Nmap scan report for TehPwner (192.168.1.26)
Host is up (0.00017s latency).
Not shown: 987 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
902/tcp open iss-realsecure
912/tcp open apex-mesh
2869/tcp open icslap
5357/tcp open wsdapi
8081/tcp open blackice-icecap
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49163/tcp open unknown
49176/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 2.30 seconds
Ora ho attivato il mio firewall:
$ nmap 192.168.1.26
Starting Nmap 6.40 ( http://nmap.org ) at 2015-01-24 21:42 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.03 seconds
Ancora una volta, saltando la sonda ping:
$ nmap 192.168.1.26 -Pn
Starting Nmap 6.40 ( http://nmap.org ) at 2015-01-24 21:42 EST
Nmap scan report for TehPwner (192.168.1.26)
Host is up (0.00090s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE
902/tcp open iss-realsecure
912/tcp open apex-mesh
2869/tcp open icslap
5357/tcp open wsdapi
Nmap done: 1 IP address (1 host up) scanned in 49.29 seconds