¿Cuál es el propósito principal de un firewall en un servidor Linux que está conectado a Internet?

Navega tus respuestas
2

Cuando implemento nuevos servidores linux: comienzo con un sistema operativo Ubuntu Server básico e instalo solo los servicios necesarios.

  • SSH
  • servidor web - puerto 80

Estos servicios tienen configuración de reglas de iptables para ACEPTAR conexiones a ellos  - por lo que el firewall no proporciona ningún beneficio en ese sentido.

El servidor recibe solicitudes frecuentes a todo tipo de puertos, que van desde de 22 a 56,000, pero ningún servicio está escuchando o respondiendo a esos puertos.

Si el servidor no tenía servidor de seguridad , la pila de red del servidor responderá con un paquete de restablecimiento RST ; de lo contrario, el servidor no brindaría servicios al atacante en ese puerto.

Con un firewall configurado correctamente, iptables dejará en silencio estos paquetes al piso.

si el atacante escaneara todos los puertos, finalmente encontraría los puertos abiertos y, por lo tanto, establecería que el servidor está conectado a Internet y obtendría una asignación de los puertos que aceptan conexiones.

Entonces, ¿el beneficio principal de un firewall en un servidor es, básicamente, reducir la velocidad a la que un atacante obtiene un mapeo de puertos abiertos?
Si no es así, ¿qué propósito real tiene un firewall en un servidor?

    
pregunta the_velour_fog 24.09.2015 - 06:01
fuente

1 respuesta

1

En mi configuración, el propósito es evitar la apertura accidental de puertos al público, lo que podría permitir que atacantes aleatorios hagan cosas malas. Por ejemplo, puede probar la configuración de un servicio de correo electrónico que viene como un relé abierto de la caja. Si no hay un servidor de seguridad y se olvida de desactivarlo, probablemente ya esté enviando spam después de algunas horas.

Cualquier tipo de software puede abrir un puerto, a veces no lo sabes. Por eso me gusta tener un firewall global donde explícitamente puedo permitir el acceso a ciertos puertos mínimos.

Comience con solo tener habilitado SSH (y los inicios de sesión de raíz directos deshabilitados, por supuesto), y luego solo abra nuevos puertos si el servicio que se va a exponer está completamente configurado y reforzado.

Al final, como usted dice, puede que solo haya 4 o 5 puertos abiertos en el firewall, todas las demás conexiones serán rechazadas.

Tenga en cuenta también que un servidor de seguridad se puede configurar para entregar paquetes RST en lugar de caídas silenciosas (con la política de RECHAZO). Esto es más compatible con los RFC, por supuesto, y aún no expone ningún riesgo. Si desea ralentizar el escáner, por supuesto, utilice la política DROP.

    
respondido por el flohack 30.09.2015 - 11:40
fuente

Lea otras preguntas en las etiquetas

¿Cifrar / firmar una solicitud de cliente a API? apparmor alternativa para MacBook [cerrado]