¿Un puerto abierto sin servicio de escucha representa un riesgo? [duplicar]

Navega tus respuestas
1

Tengo un servidor doméstico que ejecuta Ubuntu 16.04 Server Edition. Tengo un par de puertos que mi enrutador reenvía a mi servidor y ufw en mi servidor me permite acceder a los servicios fuera de la LAN, es decir, SSH en un puerto personalizado (ya que el enrutador bloquea el puerto 22 para el reenvío) y puertos 80 y 443 para HTTP y HTTPS para mi servidor web. Quiero abrir un puerto para fines de desarrollo, específicamente, el puerto 9991, que no está asociado con ningún servicio / protocolo en particular. La mayoría de las veces, el servidor de desarrollo que escucha en este puerto no se ejecutará. Sin embargo, el enrutador aún reenviará las solicitudes de este puerto al servidor, lo que todavía será permitido por ufw . Si no hay servicio escuchando en el puerto, pero está abierto a las conexiones entrantes, ¿existe una amenaza de seguridad?

    
pregunta Rohan 28.12.2016 - 03:34
fuente

3 respuestas

3

En la terminología de nmap, un puerto "abierto" suele ser el puerto donde un servicio está vinculado y escucha; de lo contrario el puerto no está abierto.

Sin embargo, parece que estás preguntando por tener un puerto abierto en el firewall. Esto es, lo que permite que los hosts remotos se conecten al puerto 9991 en un servidor a través del firewall, incluso si no hay ningún enlace en este puerto y esos intentos de conexión resultan en rechazo. Sin embargo, esto plantea algunos riesgos:

  • Si su servidor está comprometido, uno puede ejecutar un servidor HTTP en ese puerto y usarlo para difundir contenido ilegal (como archivos binarios de ransomware o servidor C & C).

    Más aún, en la configuración de la empresa, este servidor comprometido también podría usarse para infectar otras máquinas dentro de la organización, incluyendo aquellas que no pudieron conectarse a Internet, a través de ataques de phishing que apuntan a este servidor. Esto tendría una mayor probabilidad de éxito, ya que los usuarios corporativos pueden confiar en los servidores internos más que en los servidores externos.

    Finalmente, hacer que el servidor comprometido sea fácilmente accesible es mucho más fácil cuando uno simplemente puede iniciar la escucha de sshd en este puerto.

  • Si alguien actualiza el sistema operativo en este servidor, una nueva versión podría introducir un servicio de escucha en este puerto. Es posible que este servicio no esté seguro en la configuración predeterminada, por ejemplo, que tenga credenciales predeterminadas conocidas, y resulte en una vulnerabilidad explotable.
respondido por el George Y. 28.12.2016 - 06:09
fuente
1

Si no hay un servidor detrás de un puerto, no está técnicamente abierto. Supongo que su pregunta es más: ¿existe el riesgo de que un puerto sin servidor no sea bloqueado por el firewall?

Mi respuesta será en 2 partes. Primero, como no hay ningún servidor escuchando en ese puerto, no hay riesgo real. Pero muestra que el firewall está mal configurado.

Las mejores prácticas de seguridad recomiendan que un firewall bloquee todo lo que no sea necesario. Es una mera aplicación del principio de separación de la preocupación: el administrador del firewall no debe saber exactamente cómo están configurados los servidores, solo debe considerar el canal requerido y bloquear todo lo demás.

Por lo tanto, incluso si no existe un riesgo inmediato, no bloquear el puerto en el nivel del firewall sigue siendo una configuración deficiente.

    
respondido por el Serge Ballesta 28.12.2016 - 10:35
fuente
0

no, si no hay servicio escuchando en ese puerto, no hay absolutamente ningún riesgo. El Protocolo de control de transmisión (TCP) y el Protocolo de datagramas de usuario (UDP), especifican un número de puerto de origen y destino en sus encabezados, de modo que si no hay servicio para responder allí, no se establezca ninguna conexión y el socket se cerrará.

    
respondido por el Badr Bellaj 28.12.2016 - 10:29
fuente

Lea otras preguntas en las etiquetas

¿En qué categoría de validación de dominio se encuentra DKIM? Poner en la lista blanca solo hosts particulares en Windows 10