Una porta aperta senza ascolto del servizio su di essa rappresenta un rischio? [duplicare]

Naviga le tue risposte
1

Ho un server di casa con Ubuntu 16.04 Server Edition. Ho un paio di porte che il mio router inoltra al mio server e ufw sul mio server consente così di accedere ai servizi al di fuori della LAN, ovvero SSH su una porta personalizzata (poiché il router blocca la porta 22 per l'inoltro) e le porte 80 e 443 per HTTP e HTTPS per il mio server web. Voglio aprire una porta per scopi di sviluppo, in particolare la porta 9991, che non è associata ad alcun servizio / protocollo particolare. La maggior parte delle volte, il server di sviluppo in ascolto su questa porta non sarà in esecuzione. Tuttavia, il router continuerà a inoltrare richieste su questa porta al server, che sarà comunque consentito da ufw . Se sulla porta non è presente alcun servizio in ascolto, tuttavia è aperto alle connessioni in entrata, esiste una minaccia alla sicurezza?

    
posta Rohan 28.12.2016 - 03:34
fonte

3 risposte

3

Nella terminologia nmap, una porta "aperta" è solitamente la porta su cui un servizio è collegato e in ascolto; altrimenti la porta non è aperta.

Tuttavia, sembra che tu stia chiedendo di avere una porta aperta sul firewall. Ciò consente agli host remoti di connettersi alla porta 9991 su un server tramite firewall, anche se non vi è alcun limite su questa porta e tali tentativi di connessione comportano il rifiuto. Tuttavia questo pone alcuni rischi:

  • Se il tuo server è compromesso, puoi eseguire un server HTTP su quella porta e usarlo per diffondere contenuti illegali (come i binari ransomware o il server C & C host).

    Inoltre, nella configurazione aziendale, questo server compromesso potrebbe anche essere utilizzato per infettare altre macchine all'interno dell'organizzazione, incluse quelle che non potrebbero connettersi a Internet, tramite attacchi di phishing che puntano a questo server. Ciò avrebbe maggiori probabilità di successo in quanto gli utenti aziendali potrebbero fidarsi più dei server interni che dei server esterni.

    Infine, rendere il server compromesso facilmente accessibile è molto più semplice quando si può semplicemente avviare sshd listening su questa porta.

  • Se qualcuno aggiorna il sistema operativo su questo server, una nuova versione potrebbe introdurre un servizio in ascolto su questa porta. Questo servizio potrebbe non essere sicuro nella configurazione predefinita, ad esempio potrebbe avere credenziali predefinite e comportare una vulnerabilità sfruttabile.
risposta data 28.12.2016 - 06:09
fonte
1

Se non c'è un server dietro una porta, non è tecnicamente aperto. Suppongo che la tua domanda sia più: c'è il rischio che una porta senza server non sia bloccata dal firewall?

La mia risposta sarà in 2 parti. Innanzitutto, poiché non c'è nessun server in ascolto su quella porta, non vi è alcun rischio effettivo. Ma è mostra che il firewall è configurato male.

Le migliori pratiche di sicurezza raccomandano che un firewall blocchi tutto ciò che non è richiesto. È una semplice applicazione del principio di separazione della preoccupazione: l'amministratore del firewall non deve sapere esattamente come sono configurati i server, deve solo avere il canale richiesto e bloccare tutto il resto.

Quindi, anche se non esiste un rischio immediato, non bloccare la porta a livello di firewall è ancora una configurazione scadente.

    
risposta data 28.12.2016 - 10:35
fonte
0

no, se non ci sono servizi in ascolto su quella porta non c'è assolutamente alcun rischio. Transmission Control Protocol (TCP) e User Datagram Protocol (UDP), specificano un numero di porta di origine e destinazione nelle loro intestazioni, quindi se non c'è alcun servizio per rispondere in tale modo non viene stabilita alcuna connessione e il socket verrà chiuso.

    
risposta data 28.12.2016 - 10:29
fonte

Leggi altre domande sui tag

Whitelist solo particolari host su Windows 10 A quale categoria di convalida del dominio fa capo DKIM?