¿Cuáles son las implicaciones de seguridad de permitir todas las conexiones entrantes en un firewall en un servidor Windows típico?

Question

¿Cuáles son las implicaciones de seguridad de permitir todas las conexiones entrantes en un firewall en un servidor Windows típico?

#1 de Nath (3 votos)
#2 de Sanidhay (1 votos)

2

Supongamos que tengo un servidor Windows (vamos con Windows Server 2012, pero estoy pensando en general). Se está ejecutando IIS. Tenemos nuestro sitio web estándar, accesible a través del puerto 80 (HTTP) y 443 (HTTPS). Y pongamos en un servidor FTP (puertos 21 y 22) para la administración. Autorización de usuario estándar en ese (no FTP anónimo). De lo contrario, todo está en la configuración predeterminada y tenemos las aplicaciones que Windows incluye y ejecuta de forma predeterminada.

¿Cuáles son las implicaciones ahora si permitimos todas las conexiones entrantes en el firewall?

Si entiendo correctamente, esto es casi como deshabilitar el firewall: lo convierte en una lista negra, pero por defecto no hay reglas de bloqueo, así que parece que el firewall no estaba allí. No puedo pensar en nada que pudiera estar escuchando en un puerto al que el firewall bloquea el acceso, así que no puedo ver cuál es la diferencia (y confío en que Windows puede manejar los datos enviados a puertos cerrados de manera adecuada).

EDITAR: En realidad, decidí probar esto en un servidor al que tengo acceso (espero que esto no haya sido una idea completamente estúpida). Ejecuté un escaneo de puertos nmap en ese servidor y encontré que los siguientes puertos están abiertos (algunos tengo descripciones pero no sé qué son):

21 (FTP)
80 (HTTP)
3389 (ssl / ms-wbt-server?)
5985 (Microsoft HTTPAPI httpd 2.0 (SSDP / UPnP))
8172 (Microsoft IIS httpd 8.5)
47001 (Microsoft HTTPAPI httpd 2.0 (SSDP / UPnP))
49152-49164 (RPC)

firewalls windows-server

pregunta Kat 26.11.2015 - 19:30

fuente

2 respuestas

Lea otras preguntas en las etiquetas firewalls windows-server

Buscando texto cifrado con consultas cifradas Python solicita verificación de SSL

score 3 · Answer 1

Cada puerto que está abierto a conexiones desde Internet es un posible vector de ataque, abriendo solo un puerto, es decir, TCP / 80 le da a las hordas de botnets la capacidad de conectarse e intentar explotar cualquier vulnerabilidad con IIS para obtener acceso o posiblemente romper su servidor.

Al abrir cada puerto se multiplica este riesgo en gran medida, más puertos y servicios, más posibilidades de que uno de ellos esté mal configurado o sea vulnerable y solo se necesita una vulnerabilidad o una contraseña fácil de adivinar para que el servidor se vea comprometido.

¿Todos los servicios que se ejecutan en ese servidor están parchados y fortalecidos? ¿Todos los servicios tienen protección contra ataques de fuerza bruta? ¿Sabes lo que está haciendo cada puerto abierto? Si la respuesta a cualquiera de estas preguntas es no, entonces la implicación es que su servidor eventualmente será hackeado. Internet no es un lugar indulgente.

score 1 · Answer 2

El principal beneficio de bloquear todas las conexiones entrantes es que si su sitio web se infecta con un troyano y abre un puerto para que el atacante pueda conectarse. El firewall no permitirá que el atacante se conecte (tan fácilmente).

Básicamente, "bloque entrante" significa que las nuevas conexiones entrantes están bloqueadas, pero se permite el tráfico establecido. Entonces, si se permiten nuevas conexiones salientes, entonces la mitad entrante de ese intercambio está bien.

La implicación es que el firewall administra esto mediante el seguimiento del estado de las conexiones (por lo general, a este firewall se le llama Firewall de Estado). Ve el TCP / SYN saliente y lo permite. Ve un SYN / ACK entrante, verifica que coincida con el SYN saliente que vio, lo deja pasar, y así sucesivamente. Si permite un protocolo de enlace de tres vías (es decir, está permitido por las reglas del cortafuegos), permitirá ese intercambio. Y cuando vea el final de ese intercambio (FIN o RST), quitará esa conexión de la lista de paquetes permitidos.

Además, si enciende su firewall, no verá el nombre de los servicios que se ejecutan en el puerto mediante el uso de nmap. Aparecerán como puertos filtrados. Esto aumentaría la dificultad del proceso de toma de huellas dactilares y se convertiría en un apagón para muchos chiquillos de script.