Quali sono le implicazioni per la sicurezza di consentire tutte le connessioni in ingresso in un firewall su un tipico server Windows?

Naviga le tue risposte
2

Dire che ho un server Windows (andiamo con Windows Server 2012, ma sto pensando in generale). Sta funzionando IIS. Abbiamo il nostro sito web standard, accessibile tramite la porta 80 (HTTP) e 443 (HTTPS). E lanciamo un server FTP (porte 21 e 22) per l'amministrazione. Autorizzazione utente standard su questo (nessun FTP anonimo). Altrimenti tutto è nelle impostazioni predefinite e abbiamo le applicazioni che Windows include ed esegue di default.

Quali sono le implicazioni ora se abbiamo consentito tutte le connessioni in entrata nel firewall?

Se capisco correttamente, questo è quasi come disabilitare il firewall - lo trasforma in una lista nera, ma per impostazione predefinita non ci sono regole di blocco, quindi è come se il firewall non fosse presente. Non riesco a pensare a nulla che possa essere ascoltato su una porta a cui il firewall blocca l'accesso, quindi non posso vedere quale sia la differenza (e confido che Windows possa gestire i dati inviati alle porte chiuse in modo appropriato).

EDIT: In realtà, ho deciso di provare questo su un server a cui ho accesso (si spera che questa non sia un'idea completamente stupida). Ho eseguito una scansione delle porte nmap su quel server e ho scoperto che le seguenti porte sono aperte (alcune ho descrizioni per ma non so cosa siano):

  • 21 (FTP)
  • 80 (HTTP)
  • 3389 (ssl / ms-wbt-server?)
  • 5985 (Microsoft HTTPAPI httpd 2.0 (SSDP / UPnP))
  • 8172 (Microsoft IIS httpd 8.5)
  • 47001 (Microsoft HTTPAPI httpd 2.0 (SSDP / UPnP))
  • 49152-49164 (RPC)
posta Kat 26.11.2015 - 19:30
fonte

2 risposte

3

Ogni porta aperta alle connessioni da Internet è un possibile vettore di attacco, aprendo solo una porta, ad esempio TCP / 80 offre alle orde di botnet la possibilità di connettersi e tenta di sfruttare qualsiasi vulnerabilità con IIS per ottenere l'accesso o eventualmente interrompere la tua server.

L'apertura di ogni porta moltiplica questo rischio enormemente, più porte e servizi, più possibilità che uno di essi sia configurato male o vulnerabile e richiede solo una vulnerabilità o una password facilmente indovinata per il tuo server per essere compromessa.

Ogni singolo servizio in esecuzione su quel server è patchato e indurito? Ogni servizio ha protezione contro gli attacchi di forza bruta? Sai cosa sta facendo ogni porto aperto? Se la risposta a una qualsiasi di queste domande è no, l'implicazione è che il server verrà eventualmente violato. Internet non è un posto che perdona.

    
risposta data 27.11.2015 - 00:47
fonte
1

Il vantaggio principale del blocco di tutte le connessioni in entrata è che se il tuo sito web viene infettato da un trojan e apre una porta che l'attaccante può riconnettersi. Il firewall non permetterà all'aggressore di connettersi (così facilmente).

In sostanza "Blocco in entrata" significa che le nuove connessioni in entrata sono bloccate, ma è consentito il traffico stabilito. Quindi, se sono permesse nuove connessioni in uscita, allora la metà in arrivo di tale scambio va bene.

L'implicazione è che il firewall gestisce ciò monitorando lo stato delle connessioni (tale firewall viene spesso chiamato Stateful Firewall). Vede il TCP / SYN in uscita e lo consente. Vede un SYN / ACK in entrata, verifica che corrisponda al SYN in uscita che ha visto, lo lascia passare e così via. Se consente un handshake a tre vie (cioè è consentito dalle regole del firewall), consentirà tale scambio. E quando vedrà la fine di tale scambio (FIN o RST), prenderà quella connessione dall'elenco dei pacchetti consentiti.

Inoltre, se attivi il firewall, non vedrai il nome dei servizi in esecuzione sulla porta usando nmap. Appariranno come porte filtrate. Ciò aumenterebbe la difficoltà del processo di rilevamento delle impronte digitali e diventerebbe una svolta per molti script kiddies.

    
risposta data 26.11.2015 - 23:19
fonte

Leggi altre domande sui tag

apk android e binario suid Python richiede la verifica SSL