サービスが実行されていないポートを閉じる利点

9

サービスが実行されていないポートを閉じることには利点がありますか?

次に何をするかではなく、iptablesレベルで接続を終了することで何が得られますか(私はOSを推測します)。

linux  networking  iptables  firewall  port 
WLF
ソース

回答:

15

私は別のルートに行き、すべてのポートをブロックします。サービスが必要なときにそれらを開きます。これを行うことには、無意識のうちにサービスを開始した場合、マシンが脆弱にならないという利点があります。

フランソワ・ウォルマランス
ソース
これが拡張された場合、初心者にはさらに役立ちますが、すばらしい答えです
WojonsTech 2013
適切なポリシーですが、多くの管理者にとって、インターネットの仕組み(たとえば、すべてのicmp)を理解せずにすべてをブロックし、物事の仕組みを変え、人生を困難にします(たとえば、rfc1435、pingを使用して問題を診断できないなど)。また、彼のサーバーは非常によく管理されていたため、スーパーアドミンがオープンポリシーを持っていなかった(つまりファイアウォールがない)方法については、usenix mag(非常に古い版)の記事もご覧ください。悪いのはほんのわずかです。
imel96 2013
5

利点は、ポートを安全に使用できることです。多くのプログラムは、疑似ランダムポートを使用するか、ポートを使用するようにプログラムできます。どちらの場合も、ポートを閉じないと、他のホストからアクセスできる可能性があります。

フランソワが指摘したように、閉鎖的な政策はより安全です。すべてのポートを閉じた状態で開始し、必要なポートを適切な方向に開きます。ローカルサーバーがない、またはローカルサーバーを必要としないサービスを要求することはよくあります。通常はDNSが必要ですが、着信要求を許可する必要はありません。適切なネットワーク機能にはいくつかのICMPタイプ(3、4、11)が必要ですが、他のタイプは安全にブロックされる場合があります。echo(8)を選択的に有効にするのが一般的です。これによりecho-replyrelatedパケットが受け入れられた場合に着信(0)メッセージが有効になります。

Shorewallなどのほとんどのファイアウォールビルダーでは、これらのポートをサンプルまたはデフォルトのルールセットで許可します。

BillThor
ソース
0

他の回答が述べているように、一般にクローズドポリシーは、特定のサービスのみをロックダウンするよりも安全です。

たとえば、ランダムなポートでリスニングを開始するルージュサービスをインストールし、自宅に電話をかけるとします。ソフトウェアを書いた黒人の男は、潜在的に彼らのサービスを通じて一方的なアクションを実行する可能性があります。

イムラッハ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.