Devo consentire il traffico in entrata dalla porta sorgente 443?

Naviga le tue risposte
3

Sto ospitando un server web, sia standard che SSL. Entrambi funzionano bene al momento.

Nei miei registri, ho notato ciò che sembra una scansione delle porte distribuita: 10-15 query di porte da host casuali che si verificano in pochi secondi l'una dall'altra ogni poche ore.

Ho fail2ban attivo e funzionante, ma dal momento che gli IP di origine sono sempre diversi, non cattura questo tipo di attacco. La porta di destinazione è sempre diversa, ma la porta di origine è sempre 443.

È un modo efficace per bloccare questo attacco per bloccare i pacchetti con la porta sorgente 443 o interferire con il mio server https?

Grazie!

    
posta tk421storm 05.03.2018 - 18:54
fonte

2 risposte

3

Non lo farei.

Il tuo aggressore sta già distribuendo scansioni su IP, il che è molto più difficile da fare che distribuire attraverso le porte. Il blocco di una porta ti manderebbe solo una tana del coniglio (cosa succede se cambiano alla porta 80, 21, 1024 .... ecc.)

Il vero svantaggio è che questo potrebbe creare problemi operativi futuri per la tua strada, non sai mai quando potresti aver bisogno di alcuni pacchetti con la porta sorgente 443.

Probabilmente vale la pena eseguire una scansione completa della scatola per vedere quali porte aperte ci sono su di essa, prima che l'aggressore le trovi.

    
risposta data 06.03.2018 - 03:33
fonte
2

Mentre le porte da 0 a 1024 sono riservate, il loro uso non è severamente vietato dagli standard, quindi potrebbe essere un traffico legittimo, anche se piuttosto insolito.

Inoltre, bloccare quella porta sorgente non renderà più difficile il compito di un attaccante: cambiare la porta sorgente è banale, quindi non lo bloccherò.

    
risposta data 05.03.2018 - 19:28
fonte

Leggi altre domande sui tag

È possibile utilizzare una sorta di CSRF usando il tag img / script per leggere le informazioni sensibili Controllo configurazione sicurezza - CIS parametri di riferimento