È buona pratica bloccare manualmente le porte su ciascun host

8

Abbiamo un strong firewall perimetrale. Avrebbe senso usare ancora IPTables su ogni host per bloccare tutte le porte tranne quelle necessarie (DNS, 80 per il server web, porte nagios, ecc.), O questo porterebbe solo a inefficienze. Il server web ottiene milioni di visite al giorno.

    
posta user974896 16.10.2012 - 15:55
fonte

2 risposte

14

Sì, è una buona idea bloccare tutti gli host all'interno del firewall e proteggerli da eventuali minacce provenienti dalla rete interna. In questo modo, se qualcuno accede alla tua rete o se c'è un virus / worm / etc che attacca le tue macchine locali, ci sono molti meno servizi che potrebbero essere potenzialmente compromessi.

Qualcun altro dovrà parlare delle inefficienze in questo caso particolare, anche se il mio sospetto è che sarebbero trascurabili.

    
risposta data 16.10.2012 - 16:22
fonte
6

Definitivamente farlo. Ho preso l'abitudine di distribuire servizi usando Puppet, quindi le regole del servizio di autorizzazione sono scritte nello stesso file di definizione che installa il servizio. Il file manifest generico del firewall termina eliminando tutto ciò che non consentiva altrimenti (oltre a ICMP. Non disattivare ICMP).

    
risposta data 16.10.2012 - 20:30
fonte

Leggi altre domande sui tag