De quelle utilité bloque-t-il les ports dans un pare-feu si certains restnt ouverts?

Tout d'abord, gardez à l'esprit que je ne suis pas un administrateur système; J'ai juste une question générale qui m'avait fait des angoisses depuis des années.

J'ai souvent entendu parler des avantages d'un pare-feu bloquant certains ports pour «accroître la security». Dans le même time, il y a certains ports qui restnt généralement ouverts (p. Ex. Port 80).

Je compare cette situation à une forteresse avec de nombreuses portes, mais vous verrouillez certaines des portes pour éviter les intrus. C'est bon et bon, mais à quoi bon si vous laissez encore certaines portes ouvertes? Si l'intrus est un virus mortel, alors, quelle est la différence entre laisser 1 porte ouverte contre 1000?

Il semble que j'ai un malentendu fondamental sur la façon dont les réseaux sont attaqués et / ou protégés.

2 Solutions collect form web for “De quelle utilité bloque-t-il les ports dans un pare-feu si certains restnt ouverts?”

J'ai souvent entendu parler des avantages d'un pare-feu bloquant certains ports pour «accroître la security». Dans le même time, il y a certains ports qui restnt généralement ouverts (p. Ex. Port 80).

Sur les pare-feu, vous bloquerez presque toujours tout le trafic entrant par défaut, sauf pour le trafic destiné à un service spécifique.

Si vous n'avez pas une forte exigence de security, vous autoriserez le trafic sortant sur n'importe quel port.

Si vous devez être un peu plus sécurisé, vous bloquerez le trafic sortant vers les ports mal utilisés. Par exemple, vous bloquerez le SMTP sortant, sauf votre server de messagerie afin d'éviter que vos systèmes internes ne deviennent une source de SPAM.

À mesure que vous devenez encore plus paranoïaque, vous n'autoriserez aucun access direct vers l'extérieur et vous forcerez tout le trafic à travers des pare-feu de niveau d'application capables de creuser plus profondément dans la charge utile, puis ce que vous obtenez avec un simple filter à packages. Pour le trafic HTTP, vous utiliserez un proxy HTTP comme Squid. Pour DNS, vous pouvez exécuter votre server de caching DNS local au lieu de permettre l'access direct aux servers DNS externes. La list continue. Presque tous les servers communs ont un proxy de niveau d'application de quelque sorte. Cela signifie que vous n'avez pas besoin d'ouvrir le «port 80» quel que soit le protocole que certains clients choisissent d'utiliser sur le port 80. Au lieu de cela, vous autorisez le trafic HTTP / HTTPS de vos clients à vous connecter au port 80/443 et vous interdisez tout le rest.

De plus, comprenez que votre réseau doit remplir son but. Cela signifie toujours qu'il y aura une sorte de compromis entre une security extrêmement paranoïaque et que les choses fonctionnent réellement pour vos users.

Dans un pare-feu, vous ne laissez généralement pas ouvrir les ports qui sont nécessaires.

Par exemple, vous laissez le port 80 ouvert parce que vous souhaitez desservir des pages Web ou que vous quittez le port 22 ouvert pour desservir les connections ssh.

Ces ports doivent être laissés ouverts, sinon vous ne pouvez pas fournir ces services.

De l'autre côté, tous les ports qui ne sont pas utilisés devraient être fermés. Ainsi, un attaquant n'a pas la probabilité d'utiliser ce port pour intrusion de votre système avec ce port.

Lorsque vous laissez ces ports ouverts et oubliez d'arrêter le service appartenant à celui-ci (ou un programme malveillant ouvre ce port), il existe un vector d'attaque. Si le port est fermé dans le pare-feu, peu importe qu'il y ait un programme qui écoute sur ce port car le pare-feu bloque le trafic avant qu'il n'atteigne le service.

Par exemple, si votre server exécute un service telnet et que le port 23 est fermé, personne ne peut l'atteindre et attaquer votre server via le service telnet. Si vous laissez le port ouvert, quiconque peut accéder au service trelnet et tenter d'introuer votre système.

Donc, vous ne laissez que des ports ouverts qui sont nécessaires pour remplir vos besoins spécifiques alors que tous les autres ports sont fermés et ne peuvent pas nuire.

  • Le client ne peut pas accéder à certains HTTPS via la passerelle Squeeze
  • Configuration d'un paramètre de port sur un server Linux
  • Routing entre les sous-réseaux sur différents vlans connectés par un routeur / pare-feu
  • Plusieurs IP sur le pare-feu, ces interfaces virtuelles ou quoi?
  • iptables nie l'access interne au port 17500
  • Quel type de trafic de site Web peut-il avoir une prise de connection 10mpbs?
  • Comment permettez-moi de transférer mon server à lui-même?
  • NAT est-il basé sur l'URL possible avec le port 80?
  • permettant à ufw désactive certains des parameters dans sysctl.conf
  • Est-il recommandé de désactiver les ressortingctions de la longueur du path d'access URL du pare-feu?
  • Quoi d'autre est nécessaire pour que iptables puisse se connecter à ce file que j'ai créé?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.