Devo bloccare il RST TCP in uscita (su porte chiuse)?

Se si vuole prendere la briga di farlo dipende in gran parte dal proprio modello di minaccia e dallo sforzo richiesto per apportare la modifica.

L'effetto di filtrare l'accesso alle porte chiuse è che rende più difficile per qualcuno stampare a piè di pagina una rete per stabilire potenziali bersagli d'attacco.

In teoria qualsiasi informazione fornita a un utente malintenzionato è utile per loro, quindi ridurre la quantità di informazioni fornite migliora la sicurezza.

Esiste anche il rischio potenziale che a un certo punto il tuo host potrebbe avere un bug sfruttabile nello stack TCP / IP che potrebbe essere sfruttato da un host di scansione.

Qualunque cosa ti importi abbastanza, come dico dipende dal tuo particolare modello di rischio. In generale, direi che se è facile da fare e non ha altre conseguenze negative, filtrare sicuramente il traffico.

Esistono numerosi motivi per consentire l'invio di quei pacchetti RST.

• Se i client sono legittimi e hanno trovato il tuo indirizzo IP come solo uno di più indirizzi IP che potrebbero servirli, l'RST consentirà a quei client di spostarsi rapidamente su un altro indirizzo, che può provvedere alla loro assistenza. Il filtraggio dei pacchetti RST potrebbe causare la ritrasmissione del pacchetto SYN da parte di questi client molte volte e consumare più della larghezza di banda di quella che avrebbero se si consentisse l'invio del pacchetto RST.
• Se i client stanno eseguendo la scansione della rete per le porte aperte, saranno comunque in grado di scoprire se ci sono porte aperte, se lo desiderano. Ma proprio come i client legittimi, avranno bisogno di utilizzare più larghezza di banda per raggiungere il loro obiettivo se si filtrano i pacchetti RST.
• I filtri di pacchetto rendono più difficile la risoluzione dei problemi di rete.
• Se qualcuno contraffa il tuo indirizzo IP come parte di un attacco, renderà più semplice il successo nel loro attacco filtrando i pacchetti RST.