Vorteile beim Schließen eines Ports, an dem keine Dienste ausgeführt werden


9

Gibt es Vorteile beim Schließen eines Ports, an dem keine Dienste ausgeführt werden?

Was bekomme ich, wenn ich eine Verbindung auf iptables-Ebene beende, anstatt was als nächstes zu tun (ich denke, Betriebssystem).

Antworten:


15

Ich würde den anderen Weg gehen und alle Häfen blockieren. Öffnen Sie sie nach Bedarf. Dies hat den Vorteil, dass Ihr Computer nicht anfällig ist, wenn Sie unwissentlich einen Dienst starten.


Ich denke, wenn dies erweitert wurde, wird es Noobs mehr helfen, aber gute Antwort
WojonsTech

Gute Richtlinien, aber für viele Administratoren blockieren Sie alles, ohne zu verstehen, wie das Internet funktioniert (z. B. alle icmp), was die Funktionsweise der Dinge ändert und das Leben schwer macht (z. B. rfc1435, kann Ping nicht zur Diagnose von Problemen verwenden usw.). Lesen Sie auch einen Artikel in usenix mag (sehr alte Ausgabe), in dem es darum ging, dass ein Superadmin keine offene Richtlinie hatte (dh keine Firewall), weil sein Server sehr gut gewartet wurde. Schade, dass nur wenige so gut sind wie er.
imel96

5

Der Vorteil ist, dass Sie den Port sicher nutzen können. Viele Programme verwenden einen Pseudozufallsport oder können so programmiert werden, dass sie einen Port verwenden. Wenn Sie den Port nicht schließen, können Sie in beiden Fällen von anderen Hosts aus auf sie zugreifen.

Wie Francois bemerkte, ist eine geschlossene Politik sicherer. Beginnen Sie mit allen geschlossenen Ports und öffnen Sie die benötigten Ports in die entsprechende Richtung. Es ist üblich, Dienste zu benötigen, für die Sie keinen lokalen Server haben oder möchten. DNS ist normalerweise erforderlich, aber Sie müssen eingehende Anforderungen nicht zulassen. Für eine ordnungsgemäße Netzwerkfunktionalität sind mehrere ICMP-Typen (3,4,11) erforderlich, andere können jedoch sicher blockiert werden. Es ist üblich, echo(8) selektiv zu aktivieren , wodurch eingehende echo-reply(0) Nachrichten aktiviert werden sollten, wenn relatedPakete akzeptiert werden.

Die meisten Firewall-Builder wie Shorewall lassen diese Ports in ihren Beispiel- oder Standardregelsätzen zu.


0

Wie in den anderen Antworten angegeben, ist eine geschlossene Richtlinie im Allgemeinen sicherer, als nur bestimmte Dienste zu sperren.

Angenommen, Sie installieren einen Rouge-Dienst, der einen zufälligen Port abhört, und telefonieren nach Hause. Der Black-Hat-Typ, der die Software geschrieben hat, kann möglicherweise unerwünschte Aktionen über seinen Dienst ausführen.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.