¿Debo permitir el tráfico entrante desde el puerto de origen 443?

3

Estoy hospedando un servidor web, tanto estándar como SSL. Ambos funcionan bien actualmente.

En mis registros, he notado lo que parece ser una exploración de puertos distribuida: entre 10 y 15 consultas de puertos de hosts aleatorios se producen en segundos entre sí cada pocas horas.

Tengo fail2ban en funcionamiento, pero como las IP de origen siempre son diferentes, no detecta este tipo de ataque. El puerto de destino siempre es diferente, pero el puerto de origen siempre es 443.

¿Es una forma efectiva de bloquear este ataque para bloquear paquetes con el puerto de origen 443, o eso va a interferir con mi servidor https?

¡Gracias!

    
pregunta tk421storm 05.03.2018 - 18:54
fuente

2 respuestas

3

No lo haría.

Su atacante ya está distribuyendo escaneos a través de IP, lo cual es mucho más difícil que la distribución a través de puertos. Bloquear un puerto solo lo enviaría a un agujero de conejo (qué sucede si cambian al puerto 80, 21, 1024 ... etc)

El verdadero inconveniente es que esto podría crear futuros problemas operativos para usted en el futuro, nunca se sabe cuándo puede necesitar algunos paquetes con el puerto de origen 443.

Probablemente valga la pena realizar un análisis completo de la caja para ver qué puertos abiertos hay en ella, antes de que el atacante los encuentre.

    
respondido por el keithRozario 06.03.2018 - 03:33
fuente
2

Si bien los puertos 0-1024 están reservados, su uso no está estrictamente prohibido por los estándares, por lo que podría ser tráfico legítimo, incluso si es bastante inusual.

Además, bloquear ese puerto de origen no dificultará la tarea de un atacante: cambiar el puerto de origen es trivial, por lo que no lo bloquearía.

    
respondido por el Benoit Esnard 05.03.2018 - 19:28
fuente

Lea otras preguntas en las etiquetas