Perché è una cattiva idea consentire tutto il traffico in entrata / in uscita?

Limitare il traffico in entrata è abbastanza facile da capire: se, per esempio, si esegue ssh e si accede sempre e solo a questo server dalla propria rete interna, allora le persone dalla connessione Internet più ampia a sshd stanno fornendo un vettore di attacco. Sì, dovresti usare solo l'autenticazione basata su chiave, e sì, potresti usare qualcosa come fail2ban, ma avere più livelli di protezione è buono per proteggerti quando gli altri falliscono.

Limitare il traffico in uscita aiuta a impedire a un utente malintenzionato compreso nel server di estrarre informazioni o fare buchi per concedersi l'accesso remoto.

La regola minima dei privilegi è tra le basi della sicurezza (si noti che non è limitata alla sicurezza IT ...). Se tutto fosse a un livello ideale (nessun malvagio tentativo di rompere la macchina, nessun difetto in nessun software installato) limitando il traffico sarebbe solo una perdita di tempo.

Sfortunatamente, potrebbero esserci dei difetti di sicurezza in numerosi software, rendendoli vulnerabili a diversi attacchi. Suppongo che tu abbia letto gli avvisi del CERT e corretto tutte le vulnerabilità conosciute. Ma limitare il traffico è solo un'altra linea di difesa per limitare l'esposizione della tua macchina a ciò che è strettamente richiesto. In questo modo, anche se hai dimenticato un software senza patch, nessun malvagio potrebbe utilizzarlo se il firewall blocca qualsiasi comunicazione con esso.

Detto questo, la sicurezza è sempre un equilibrio tra rischio e costo, quindi se si tratta solo di una macchina di prova, potrebbe non valere la pena di proteggerla (anche se si usano le migliori pratiche sempre in un punto di apprendimento di vista). Ma la decisione e il rischio è il tuo problema. Caveat emptor ...