¿Es una buena práctica bloquear manualmente los puertos en cada host?

8

Tenemos un firewall perimetral fuerte. ¿Tendría sentido seguir utilizando IPTables en cada host para bloquear con fuerza cualquiera y todos los puertos excepto los que se necesitan (DNS, 80 para el servidor web, puertos nagios, etc.), o esto solo conduciría a la ineficiencia? El servidor web recibe millones de visitas por día.

    
pregunta user974896 16.10.2012 - 15:55
fuente

2 respuestas

14

Sí, es una buena idea bloquear todos los hosts dentro del firewall para protegerse contra cualquier amenaza proveniente de su red interna. De esa manera, si alguien obtiene acceso a su red o si hay un virus / gusano / etc que ataca a sus máquinas locales, hay muchos menos servicios que podrían verse comprometidos.

Alguien más tendrá que hablar de las ineficiencias en este caso particular, aunque mi sospecha es que serían insignificantes.

    
respondido por el Justin Ethier 16.10.2012 - 16:22
fuente
6

Definitivamente haz esto. Me he acostumbrado a implementar servicios utilizando Puppet, por lo que las reglas de permitir el servicio se escriben en el mismo archivo de definición que instala el servicio. El archivo de manifiesto genérico de firewall finaliza al eliminar todo lo que no permití de otro modo (además de ICMP. No desactive ICMP).

    
respondido por el Jeff Ferland 16.10.2012 - 20:30
fuente

Lea otras preguntas en las etiquetas