Problemi di sicurezza di port forwarding e di blocco delle porte

Naviga le tue risposte
1

Sono molto preoccupato per la sicurezza RDP e per le molteplici occasioni di infezioni da ransomware tramite RDP, quindi ora sto esaminando le possibilità di autodifesa contro queste minacce. Quello che mi interessa molto è proteggere le porte del router dall'esterno. Come è stato spiegato dettagliatamente qui , la porta bloccata / filtrata è migliore della sola porta che non ha servizi ad essa associati, perché la porta bloccata non invia risposta all'attaccante.

Tuttavia, cosa succede se la porta non è bloccata, ma non inoltrata ovunque sul livello del router? È equivalente al blocco in senso di sicurezza?

A mio avviso, la porta non corretta viene semplicemente reindirizzata verso il nulla e l'autore dell'attacco non può utilizzarla per compromettere alcunché. Ha senso?

UPDATE: link di riferimento aggiunti per @ISMSDEV e altri che non credono che ransomware e RDP stiano seguendo in punta.
1. Ransomware e RDP - Sei vulnerabile?
2. Il ransomware si diffonde attraverso deboli credenziali del desktop remoto
3. Ransomware che utilizza Desktop remoto per diffondersi

    
posta Suncatcher 27.06.2017 - 16:26
fonte

2 risposte

1

Lasciatemi fare alcune ipotesi per cercare di semplificare questo:

  1. Stai parlando di una rete domestica o SOHO e non di un ambiente aziendale.
  2. Il router esegue Network Address Translation (NAT), da qui la necessità di port forwarding.
  3. Ti interessa il traffico esplicitamente bloccato rispetto alla mancanza di inoltro.

Quindi confrontiamo ciò che accade in ciascun caso. Nel caso in cui hai esplicitamente detto al router di eliminare il traffico in entrata sulla porta 3389:

  1. Un pacchetto TCP SYN arriva con l'IP di destinazione impostato sul router e sulla porta di destinazione 3389.
  2. Il tuo router consulta pf / iptables / qualunque vxworks usi e determina che il pacchetto debba essere eliminato.
  3. Il pacchetto viene eliminato, il router si dimentica di esso e nessuna risposta viene inviata all'attaccante.

Per il caso in cui non hai appena inoltrato nulla:

  1. Un pacchetto TCP SYN arriva con l'IP di destinazione impostato sul router e sulla porta di destinazione 3389.
  2. Il tuo router consulta pf / iptables / qualunque e non trova alcuna direzione esplicita per gestirlo. (Incluso il port forwarding!)
  3. Il router consulta la sua tabella di stato della rete, non trova alcuna connessione corrispondente (stabilita o "correlata"), quindi non è necessario inoltrare il pacchetto tramite NAT.
  4. Il router verifica la presenza di un servizio di ascolto sulla porta 3389 stessa.
  5. A partire dal 2/3/4, il router non ha idea di cosa questo pacchetto debba fare, quindi invia un reset di connessione (TCP RST) all'host richiedente.

In entrambi i casi, nessuna connessione TCP è effettivamente stabilita. Alcune persone credono che la riduzione dei pacchetti sia migliore perché "nasconde la tua presenza" online. Immagino che sia potenzialmente vero, ma poi devi lasciare la porta ogni e non avere il port forwarding. Altrimenti, è chiaro a un utente malintenzionato che il tuo IP è vivo. Inoltre, la maggior parte degli utenti SOHO dovrebbe essere maggiormente preoccupata per gli attacchi opportunistici piuttosto che per quelli mirati - in tal caso, gli hacker analizzeranno solo grandi blocchi di IP in cerca della porta 3389 aperta. Eliminare un pacchetto o effettuare il ripristino fa una piccola differenza per questo aggressore.

    
risposta data 26.08.2017 - 23:14
fonte
0

Quindi, se si inoltra una porta che non ha un servizio legittimo in esecuzione sul backend della rete, non sarei troppo preoccupato. Tuttavia, non avrei porte aperte sulla mia rete, a meno che non siano necessarie neanche.

Per quanto riguarda l'RDP, 3389 non dovrebbe mai essere esposto direttamente a Internet. Anche una porta offuscata # per RDP non dovrebbe mai avere accesso diretto a Internet tramite port forwarding o altri mezzi.

Se sei preoccupato per la sicurezza di RDP, assicurati di disporre di una VPN ben configurata con configurazione della crittografia RSA 4096 o ECDSA.

    
risposta data 27.06.2017 - 17:18
fonte

Leggi altre domande sui tag

Esiste un modo sicuro per caricare un malware in un server centralizzato? Quali informazioni fornire per un bonifico bancario all'estero? [duplicare]