Qual è lo scopo principale di un firewall su un server Linux connesso a Internet?

Naviga le tue risposte
2

Quando distribuisco nuovi server linux - comincio con un sistema operativo Ubuntu Server nudo e installo solo i servizi necessari.

  • SSH
  • server web - porta 80

Questi servizi hanno l'impostazione di regole iptables per le connessioni ACCEPT  - quindi il firewall non fornisce alcun vantaggio a tale riguardo.

Il server riceve richieste frequenti su tutti i tipi di porte, che vanno da 22 a 56.000, ma nessun servizio ascolta o risponde a quelle porte.

Se il server non ha firewall lo stack di rete del server risponderà con un pacchetto di ripristino RST - altrimenti il server non fornirebbe alcun servizio all'attaccante su quella porta.

Con un firewall configurato correttamente, iptables farà cadere silenziosamente questi pacchetti sul pavimento.

se l'attaccante ha scansionato tutte le porte, alla fine troveranno le porte aperte e quindi stabilirà che il server è connesso a Internet e ottiene una mappatura delle porte che accettano le connessioni.

Quindi è il vantaggio principale di un firewall su un server, per rallentare sostanzialmente la velocità con cui un utente malintenzionato ottiene una mappatura delle porte aperte?
In caso contrario, quale scopo ha un firewall su un server?

    
posta the_velour_fog 24.09.2015 - 06:01
fonte

1 risposta

1

Nelle mie installazioni lo scopo è quello di prevenire l'apertura accidentale di porte al pubblico che potrebbero consentire a malintenzionati occasionali di fare cose cattive. Ad esempio, è possibile testare la configurazione di un servizio di posta elettronica che viene fornito come un relè aperto. Se non ci sono firewall e ti dimentichi di spegnerlo, probabilmente stai già facendo spamming già dopo alcune ore.

Qualsiasi tipo di software può aprire una porta, a volte non lo sai. Ecco perché mi piace avere un firewall globale dove posso esplicitamente consentire alcune porte minime per essere accessibili.

Inizia con solo SSH abilitato (e gli accessi root diretti disabilitati ovviamente), quindi apri solo nuove porte se il servizio da esporre è completamente configurato e indurito.

Alla fine, come dici tu, potrebbero esserci solo 4 o 5 porte aperte nel firewall, tutte le altre connessioni saranno rifiutate.

Nota anche che un firewall può essere configurato per consegnare pacchetti RST invece di drop silenziosi (con criterio REJECT). Questo è più conforme agli RFC, ovviamente, e non espone ancora alcun rischio. Se si desidera rallentare lo scanner, ovviamente utilizzare la politica DROP.

    
risposta data 30.09.2015 - 11:40
fonte

Leggi altre domande sui tag

Questo sito ASP è vulnerabile all'XSS o no? Scansione della porta legalmente (whitelist)