Pourquoi bloquer les ports réseau?
Il y avait une autre bonne question ici sur la raison pour laquelle vous devriez bloquer le trafic sortant: pourquoi bloquer le trafic réseau sortant avec un pare-feu?
Mais j'espérais avoir une réponse à la raison pour laquelle il est une bonne idée de bloquer des ports ou des ports entrants en général.
En particulier, je pensais que la différence entre la gestion desquelles les applications s'écoutaient pour le trafic sur un port de votre machine et bloquant ce port dans votre pare-feu.
Sur la surface, c'est assez stupide: si vous ne voulez pas de circulation entrant sur un port donné, alors ne faites pas écoute sur ce port. En tant que tels, les pare-feu basés sur l'hôte ont traditionnellement été en grande partie intégré. Mais récemment (comme dans, 20 dernières années), la pratique a pris beaucoup de temps. Voici quelques raisons communes:
parce que vous ne pouvez pas contrôler ce qui écoute sur votre ordinateur
[.____ Être à tout moment contrôlé, ce qui signifiait qu'un pare-feu était le seul moyen de contrôler l'accès.
parce que vous voulez limiter mais pas éviter l'accès
Les pare-feu vous permettent de filtrer la circulation en fonction de plus que du numéro de port d'écoute, ce qui signifie que vous pouvez faire des choses fantaisistes comme permettant d'avoir accès uniquement à une gamme donnée d'IPS ou d'autres critères. Bien que non une mesure de sécurité infaillible, elle élimine la grande majorité du trafic malveillant, vous permettant de concentrer votre attention sur les attaquants plus avancés.
parce que vous pourriez déjà être compromis
[.____] C'est probablement la raison la plus couramment citée, mais elle n'est probablement probablement pas la plus précieuse. L'idée est que si vous bloquez l'accès à des ports supplémentaires au-delà de ce que vous êtes déjà attendu, il est donc plus difficile pour un attaquant de tirer parti d'un compromis initial pour obtenir un accès plus complet au serveur (par exemple, en liant une coque distante à un port supplémentaire. ). Bien qu'il soit vrai que cela le rend plus difficile, tout attaquant moyen-qualifié peut contourner cette restriction, de sorte que la sécurité progressive qu'elle fournit est mineure.
Pour appliquer la politique
[.____] L'idée ici est que vous avez un ensemble spécifique d'applications autorisées à écouter sur le réseau conformément à votre stratégie de sécurité et que vous ne souhaitez pas d'ajouter à cette liste. Dans le scénario improbable que l'administrateur de voyous sait comment installer des logiciels mais pas Savoir reconfigurer le pare-feu, cela l'empêcherait de l'arrêter.
En regardant cette liste, il est clair que tout de ces scénarios (sauf peut-être que les premiers) sont mieux rencontrés à l'aide d'un fichier bord Pare-feu par opposition à A HOST pare-feu, car le filtrage à la passerelle ne peut pas être modifié facilement par une personne avec des droits d'administration sur l'hôte.
Néanmoins, juste parce qu'il est préférable de faire au bord ne signifie pas que vous ne devriez pas aussi le faire sur l'hôte. N'oubliez pas qu'un réseau vraiment sécurisé est celui qui reste sécurisé même sans protection de périmètre. La superposition de votre défense vous aidera à vous protéger même lorsque des parties de cette défense échouent.
Pour la même raison que le trafic sortant. Les attaquants peuvent commencer à exécuter des services qui se lient à un certain port. Si vous autorisez le trafic entrant tout serveur distant peut simplement se connecter à ce service. En cas d'attaquant, cela pourrait être le tel appelé " Bind Shell ".
Cela fait également partie de la sécurité dans une approche approfondie. Considérons des services d'exécution par défaut tels que MDNS ou RPC. Vous ne voulez pas annoncer ces services sur le net, vous pouvez donc les désactiver. En utilisant des règles de pare-feu entrantes, vous pouvez mettre en place un mécanisme de défense supplémentaire afin de ne pas faire des fuites d'informations si quelqu'un a permis à ce service par accident.
La belle partie des règles de pare-feu entrantes est qu'il est très facile de mettre en œuvre une approche blanche. Vous pouvez décider quels ports doivent être accessibles sur une certaine adresse IP à l'aide d'un certain protocole. Vous pouvez également affiner cela encore plus en permettant une certaine quantité de paquets à la fois (limitation de taux). Cela vous donne beaucoup plus de contrôle et permettra moins à des "mots sales-ups" lors de la désactivation des services inutiles.
De nombreuses raisons, mais l'une des plus grandes pour moi serait que les logiciels malveillants sont l'une des principales menaces que nous traitons et que les ports ouverts permettent aux logiciels malveillants d'exécuter un service sur ces ports.
Les ports de fermeture empêchent également les utilisateurs qui exécutent leurs propres serveurs, pour le partage de fichiers, les jeux ou tout ce qu'ils ne devraient pas faire sur votre réseau, mais peuvent vouloir de toute façon.