Parece que el status quo en este momento es configurar los cortafuegos para eliminar cualquier paquete que no esté destinado a puertos específicamente abiertos. Muchos escáneres de puertos defensivos (como ShieldsUP! ) parecen elogiarle por cada puerto que tiene una política DROP . Si tuviera que escanear puertos en alguno de los principales dominios del mundo, casi todos ellos mostrarían que su política predeterminada es DROP, excepto en los puertos necesarios como 80 y 443.
¿Cuál es la mentalidad detrás de esto? No puede ser para el sigilo, porque si los puertos 80 y 443 responden, sería extremadamente trivial ver que el host está activo. Tampoco puede ser una defensa contra las inundaciones de SYN, ya que simplemente puede dirigir los paquetes a los puertos que ESTÁN abiertos. Lo único en lo que puedo pensar es que hay otros servicios que se ejecutan en la interfaz externa, pero en lugar de tomarse el tiempo para configurar adecuadamente estos servicios, los administradores simplemente lanzan un firewall frente a él. Aún así, uno podría pensar que los mejores sitios web del mundo tendrían que actuar juntos lo suficiente como para configurar correctamente sus servidores.
¿Me estoy perdiendo algo aquí? ¿La configuración de una política predeterminada de DROP realmente hace algo para mejorar la seguridad en un servidor configurado correctamente?
Editar:
Solo quiero aclarar un poco mi pregunta. Lo que no entiendo es por qué las personas sienten la necesidad de colocar una capa que coloque paquetes en lugar de dejarlos pasar y dejar que la red de redes haga su trabajo. (Colocar una capa que responda artificialmente con RST sería esencialmente lo mismo y plantea las mismas preguntas).
No estoy tratando de dar a entender que un firewall es inútil, pero parece que las personas no confían en la pila de redes al punto de que prohíben el contacto directo, excepto en los puertos permitidos. ¿Cuál es el daño real al exponerlo e interferir con él lo menos posible?