Había otra buena pregunta aquí sobre por qué debería bloquear el tráfico saliente: ¿Por qué bloquear el tráfico de red saliente con un firewall?
Pero esperaba obtener una respuesta sobre por qué es una buena idea bloquear los puertos entrantes o los puertos en general.
En particular, pensaba qué diferencia hay entre administrar las aplicaciones que escuchan el tráfico en un puerto de tu máquina y bloquear ese puerto en tu firewall.
En la superficie, es bastante tonto: si no quieres que el tráfico entre en un puerto determinado, simplemente no escuches en ese puerto. Como tal, los cortafuegos basados en host tradicionalmente han sido en gran medida integrados. Pero recientemente (como en los últimos 20 años) la práctica ha mejorado bastante. Aquí hay algunas razones comunes:
Porque no puedes controlar lo que escuchas en tu computadora
Los firewalls basados en host han sido el mecanismo tradicional para controlar el comportamiento de los servicios centrales de Microsoft, como los puertos 135 y 445. En aras de la simplicidad y la facilidad de uso, Microsoft tradicionalmente no permitía que esos servicios estuvieran controlados en absoluto. lo que significaba que un firewall era la única forma de controlar el acceso.
Porque desea restringir pero no impedir el acceso
Los cortafuegos le permiten filtrar el tráfico en función de algo más que el número de puerto de escucha, lo que significa que puede hacer cosas extravagantes como permitir el acceso solo desde un rango determinado de IP u otros criterios. Si bien no es una medida de seguridad infalible, elimina la gran mayoría del tráfico malicioso, lo que le permite centrar su atención en los atacantes más avanzados.
Porque es posible que ya esté comprometido
Esta es probablemente la razón más comúnmente citada, pero también es probable que no sea la más valiosa. La idea es que si bloquea el acceso a puertos adicionales más allá de lo que ya esperaba, es más difícil para un atacante aprovechar un compromiso inicial para obtener un acceso más completo al servidor (por ejemplo, vinculando un shell remoto a un puerto adicional). ). Si bien es cierto que esto lo hace más difícil, cualquier atacante con habilidades promedio puede evitar esta restricción, por lo que la seguridad incremental que proporciona es menor.
Para hacer cumplir la política
La idea aquí es que tiene un conjunto específico de aplicaciones que pueden escuchar en la red de acuerdo con su política de seguridad, y no desea que un administrador agregue a esa lista. En el improbable escenario de que el administrador deshonesto sepa cómo instalar software, pero no sabe cómo reconfigurar el firewall, esto lo detendría.
Mirando esta lista, está claro que todos de estos escenarios (excepto quizás el primero) se cumplen mejor utilizando un firewall edge en lugar de un host firewall, ya que el filtrado en la puerta de enlace no puede ser cambiado fácilmente por alguien con derechos de administrador en el host.
Aún así, solo porque es mejor hacerlo en el borde no significa que no debas también hacerlo en el host. Recuerde que una red verdaderamente segura es aquella que permanece segura incluso sin protección perimetral. Acodar a tu defensa te ayudará a mantenerte protegido incluso cuando fallan partes de esa defensa.
Por la misma razón que con el tráfico saliente. Los atacantes pueden comenzar a ejecutar servicios que se unen a un determinado puerto. Si permite el tráfico entrante, cualquier servidor remoto puede simplemente conectarse a este servicio. En el caso de un atacante, este podría ser el llamado " enlazar shell ".
También es parte del enfoque de seguridad en profundidad. Considere servicios de ejecución predeterminados como mDNS o RPC. No desea anunciar estos servicios en la red, por lo que los deshabilita. Al usar las reglas de firewall entrantes, puede implementar un mecanismo de defensa adicional para no filtrar información en caso de que alguien haya habilitado este servicio por accidente.
La buena parte de las reglas de firewall entrantes es que es muy fácil implementar un enfoque de lista blanca. Puede decidir qué puertos deben ser accesibles en una determinada IP utilizando un protocolo determinado. También puede ajustar esto aún más si solo permite una cierta cantidad de paquetes a la vez (límite de velocidad). Esto le da mucho más control y le permitirá tener menos "fallas" cuando deshabilite servicios innecesarios.
Muchas razones, pero probablemente una de las más importantes para mí es que el malware es una de las amenazas más grandes con las que lidiamos, y los puertos abiertos permiten que el malware ejecute un servicio en esos puertos.
Los puertos de cierre también impiden que los usuarios ejecuten sus propios servidores, para compartir archivos, jugar o cualquier otra cosa que no deberían hacer en su red, pero es posible que quieran hacerlo.