Per una rete che offre servizi web, ho ricevuto raccomandazioni per inserire nella lista nera un paio di porte DESTINATION comuni, come UDP 53, per combattere il carico crescente di DDoS. Mi chiedo se abbia senso inserire nella blacklist anche gli attacchi SOURCE. Qual è la pratica del settore?
Ho provato su Wireshark, da un punto di attacco, su porte sorgente in uscita e sono porte alte casuali. Sia le richieste web legittime che le scansioni dannose provengono da porte di origine casuale, quindi non credo che il difensore possa bloccare in base alle porte di origine degli attaccanti.
In termini di sicurezza, è meglio avere un approccio di whitelist piuttosto che una lista nera. Come Neil ha chiaramente sottolineato, è necessario consentire solo le porte per le connessioni in ingresso nel firewall che corrispondono ai servizi che si stanno fornendo e devono accedere dall'esterno. Spero che la mia risposta ti aiuti a capire meglio la situazione.