¿Debo bloquear el TCP RST de salida (en puertos cerrados)?

Navega tus respuestas
3

Tengo un rango de puertos TCP entrantes abiertos en el servidor de seguridad, pero generalmente están cerrados en la máquina host. Veo un puñado de intentos de conexión desconocidos cada día, para los cuales el servidor devuelve TCP RST. Me pregunto, ¿debo configurar IPTABLES para eliminarlos silenciosamente, de modo que un escáner no pueda conocer tan rápidamente el estado de un puerto? Si el volumen fuera alto, lo haría para evitar pagar el ancho de banda de salida, pero ¿hay alguna otra razón que no sea esa?

    
pregunta user1055568 20.10.2015 - 19:38
fuente

2 respuestas

2

Si desea tomarse la molestia de hacerlo, depende en gran medida de su propio modelo de amenaza y del esfuerzo necesario para realizar el cambio.

El efecto del filtrado de acceso a los puertos cerrados es que hace que sea más difícil para alguien hacer una huella de una red para establecer posibles objetivos de ataque.

Teóricamente, cualquier información proporcionada a un atacante es útil para ellos, por lo que reducir la cantidad de información que proporciona mejora su seguridad.

También existe el riesgo potencial de que en algún momento su host pueda tener un error explotable en su pila TCP / IP que pueda ser explotado por un host de escaneo.

Si algo de eso te importa lo suficiente, como digo, depende de tu modelo de riesgo particular. En general, diría que si es fácil de hacer y no tiene otras consecuencias negativas, seguro que filtrará el tráfico.

    
respondido por el Rоry McCune 20.10.2015 - 22:16
fuente
1

Hay varias razones para permitir que se envíen esos paquetes RST.

  • Si los clientes son legítimos y encontraron su dirección IP como solo una de las múltiples direcciones IP que podrían atenderlos, entonces el RST les permitirá a esos clientes moverse rápidamente a otra dirección, que puede atenderlos. Filtrar los paquetes RST podría hacer que esos clientes retransmitan el paquete SYN muchas veces y consuman más ancho de banda del que tendrían si permitieran que se envíe el paquete RST.
  • Si los clientes están explorando su red en busca de puertos abiertos, aún podrán averiguar si hay puertos abiertos, si realmente lo desean. Pero al igual que los clientes legítimos, tendrán que usar más de su ancho de banda para lograr su objetivo si filtra los paquetes RST.
  • Los filtros de paquetes dificultan la resolución de problemas de la red.
  • Si alguien falsifica su dirección IP como parte de un ataque, le facilitará el éxito en su ataque al filtrar los paquetes RST.
respondido por el kasperd 20.10.2015 - 22:51
fuente

Lea otras preguntas en las etiquetas

falsificación de información aleatoria del navegador para defenderse de las huellas digitales ¿Puedo decirle a Linux que no cambie el espacio de datos de un proceso específico?