C'era un'altra buona domanda qui sul perché dovresti bloccare il traffico in uscita: Perché bloccare il traffico di rete in uscita con un firewall?
Ma speravo di ottenere una risposta sul perché è una buona idea bloccare le porte o le porte in ingresso in generale.
In particolare stavo pensando che differenza c'è tra la gestione di quali applicazioni stanno ascoltando il traffico su una porta della tua macchina e il blocco di quella porta nel firewall.
In superficie, è piuttosto sciocco: se non vuoi che il traffico entri in una determinata porta, allora non ascolta su quella porta. Pertanto, i firewall basati su host sono stati tradizionalmente largamente ingeriti. Ma di recente (come negli ultimi 20 anni) la pratica è aumentata un po '. Ecco alcuni motivi comuni:
Perché non puoi controllare cosa sta ascoltando sul tuo computer I firewall basati su host sono stati il meccanismo tradizionale per controllare il comportamento dei servizi di base di Microsoft, come la porta 135 e 445. Nell'interesse della semplicità e della facilità d'uso, Microsoft tradizionalmente non permetteva che tali servizi fossero completamente controllati, il che significava che un firewall era l'unico modo per controllare l'accesso.
Perché vuoi limitare ma non impedire l'accesso I firewall ti consentono di filtrare il traffico in base a più del semplice numero di porta di ascolto, il che significa che puoi fare cose di lusso come consentire l'accesso solo da un determinato intervallo di IP o altri criteri. Pur non essendo una misura di sicurezza infallibile, elimina la maggior parte del traffico dannoso, permettendoti di concentrare la tua attenzione sugli aggressori più avanzati.
Perché potresti già essere stato compromesso
Questo è probabilmente il motivo più comunemente citato, ma probabilmente anche il più prezioso. L'idea è che se si blocca l'accesso a porte aggiuntive oltre a quelle già previste, è più difficile per un utente malintenzionato sfruttare un compromesso iniziale per ottenere un accesso più completo al server (ad esempio vincolando una shell remota a una porta aggiuntiva ). Anche se è vero che questo rende più difficile, qualsiasi utente malintenzionato con capacità media può aggirare questa restrizione, quindi la sicurezza incrementale fornita è minima.
Per applicare i criteri
L'idea qui è che hai una serie specifica di applicazioni che possono ascoltare sulla rete in base alla tua politica di sicurezza e non vuoi che un amministratore aggiunga a quella lista. Nell'improbabile scenario in cui l'amministratore violento sappia come installare il software, ma non sa come riconfigurare il firewall, ciò lo fermerebbe.
Guardando questo elenco, è chiaro che tutti di questi scenari (eccetto forse il primo) si incontrano meglio usando un firewall edge invece di un host firewall, poiché il filtro sul gateway non può essere facilmente modificato da qualcuno con diritti di amministratore sull'host.
Tuttavia, solo perché è meglio fare a bordo non significa che non dovresti anche farlo sull'host. Ricorda che una rete veramente sicura è quella che rimane protetta anche senza la protezione perimetrale. Stratificare la tua difesa ti aiuterà a proteggerti anche quando parti di quella difesa falliscono.
Per lo stesso motivo con il traffico in uscita. Gli aggressori potrebbero iniziare a eseguire servizi che si collegano a una determinata porta. Se si consente il traffico in entrata, qualsiasi server remoto può semplicemente connettersi a questo servizio. Nel caso di un utente malintenzionato questo potrebbe essere il cosiddetto " shell di collegamento ".
Fa anche parte dell'approccio alla sicurezza in profondità. Prendi in considerazione i servizi di default come mDNS o RPC. Non vuoi pubblicizzare questi servizi sulla rete, quindi li disabiliti. Utilizzando le regole del firewall in entrata puoi mettere in atto un meccanismo di difesa aggiuntivo in modo da non perdere informazioni se qualcuno ha abilitato questo servizio per sbaglio.
La parte piacevole delle regole del firewall in arrivo è che è molto semplice implementare un approccio alla lista bianca. È possibile decidere quali porte devono essere raggiungibili su un determinato IP utilizzando un determinato protocollo. È anche possibile perfezionare ulteriormente questo aspetto consentendo solo una certa quantità di pacchetti alla volta (limitazione della velocità). Questo ti dà un maggiore controllo e consentirà meno "parolacce" quando disabiliti i servizi non necessari.
Molti motivi, ma probabilmente uno dei maggiori per me sarebbe che il malware è una delle più grandi minacce che affrontiamo e le porte aperte consentono al malware di eseguire un servizio su quelle porte.
Le porte di chiusura bloccano anche gli utenti che eseguono i propri server, per la condivisione di file, i giochi o qualsiasi altra cosa non dovrebbero fare sulla rete, ma potrebbero volerlo comunque.