¿Por qué generalmente configuramos los cortafuegos para filtrar todo el tráfico que no permitimos específicamente? ¿Es esto solo una capa adicional de seguridad para la defensa en profundidad que no nos compra nada si no estamos ejecutando malware en nuestro sistema?
¿Existe algún peligro en la apertura, por ejemplo, los puertos 60000 a 61000 para las conexiones UDP entrantes que es significativamente menos segura que la apertura de unos pocos puertos?
Acabo de escuchar sobre mosh que se anuncia como una mejor manera de hacer ssh móvil (a través de wifi / teléfono celular). Mosh usa UDP en lugar de TCP, por lo que si ingresa brevemente a un túnel o cambia su dirección IP (cambiando torres de teléfonos celulares), no tiene que esperar para regresar del control de congestión o establecer una nueva sesión ssh. Básicamente, mosh usa ssh para iniciar remotamente un servidor mosh como usuario sin privilegios, intercambia una clave AES-OCB con ssh y luego envía / recibe paquetes cifrados (con números de secuencia) a un puerto en el rango 60000-61000, que debería configura tu firewall para que se abra.
Me siento un poco incómodo con la apertura de ~ 1000 puertos para conexiones entrantes (UDP), pero no puedo pensar en una buena razón para esto. Si ningún software está escuchando datos en ese puerto, simplemente se ignora, ¿verdad? (En edición: no: en realidad indica al servidor que devuelva una respuesta inalcanzable de destino ICMP (ping)). Supongo que si tuviera malware ejecutándose en mi servidor, podría estar esperando para escuchar las instrucciones de las direcciones IP falsificadas en uno de estos puertos abiertos. Sin embargo, el malware que se ejecuta en sistemas conectados a Internet ya podría establecer conexiones / descargar información de otros servidores de malware (aunque tendría que conocer una dirección IP) y obtener instrucciones, por lo que la seguridad no es mucho menos segura.
EDIT: interesante, acabo de ver esta otra pregunta que me llevó a lea acerca de UDP_flood_attack . Supongo que, además, necesitaría deshabilitar de algún modo el envío de respuestas inalcanzables de destino de ping para los puertos UDP recién abiertos.