Un port ouvert sans aucun service n'écoute-t-il peut-il poser un risque?
J'ai un serveur à domicile exécutant l'édition de serveur Ubuntu 16.04. J'ai quelques ports que mon routeur transmet à mon serveur et ufw sur mon serveur permet de pouvoir accéder aux services en dehors du réseau local - nommément SSH sur un port personnalisé (car le routeur bloque le port 22 pour le transfert. ) et les ports 80 et 443 pour HTTP et HTTPS pour mon serveur Web. Je souhaite ouvrir un port à des fins de développement - spécifiquement, le port 9991, qui n'est pas associé à un service/protocole particulier. La plupart du temps, l'écoute du serveur de développement sur ce port ne fonctionnera pas. Cependant, le routeur transférera toujours les demandes sur ce port au serveur, qui seront toujours autorisées par ufw. S'il n'y a pas d'écoute de service sur le port, il est ouvert aux connexions entrantes, existe-t-il une menace de sécurité?
Dans la terminologie NMAP, un port "ouvert" est généralement le port où un service est lié et d'écouter; Sinon, le port n'est pas ouvert.
Cependant, il semble que vous demandiez d'avoir un port ouvert sur le pare-feu. Ceci est, permettant aux héberges distants de se connecter au port 9991 sur un serveur via un pare-feu, même s'il n'ya rien de liaison sur ce port et ces tentatives de connexion aboutissent à un refus. Pourtant, cela pose quelques risques:
Si votre serveur est compromis, on peut exécuter un serveur HTTP sur ce port et l'utiliser pour diffuser du contenu illégal (tel que Ransomware binaires ou un serveur C & C hôte).
En savoir plus, dans la configuration d'entreprise, ce serveur compromis pourrait également être utilisé pour infecter d'autres machines à l'intérieur de l'organisation - y compris celles qui ne pouvaient pas se connecter à Internet - via des attaques de phishing pointant vers ce serveur. Cela aurait une plus grande chance de succès que les utilisateurs de sociétés pourraient faire confiance aux serveurs internes plus que des serveurs externes.
Enfin, rendre le serveur compromis facilement accessible est beaucoup plus facile lorsque vous pouvez simplement lancer une écoute de SSHD sur ce port.
- Si une personne mette à jour le système d'exploitation sur ce serveur, une nouvelle version pourrait introduire une écoute de service sur ce port. Ce service pourrait ne pas être sécurisé dans la configuration par défaut - par exemple, il pourrait avoir connu des informations d'identification par défaut - et entraîner une vulnérabilité exploitable.
S'il n'y a pas de serveur derrière un port, il n'est pas techniquement ouvert. Je suppose que votre question est plus utile: Y a-t-il un risque d'avoir un port sans serveur de ne pas être bloqué par le pare-feu?
Ma réponse sera en 2 parties. Tout d'abord, car il n'y a pas d'écoute de serveur sur ce port, il n'y a pas de risque réel. Mais montre que le pare-feu est mal configuré.
Les meilleures pratiques de sécurité recommandent qu'un pare-feu bloque tout ce qui n'est pas nécessaire. Il s'agit d'une simple application de la séparation du principe de préoccupation: le pare-feu admin ne doit pas savoir exactement comment les serveurs sont configurés, il ne devrait que consigner le canal requis et bloquer tout le reste.
Donc, même s'il n'y a pas de risque immédiat, ne pas bloquer le port au niveau du pare-feu reste une mauvaise configuration.
non, s'il n'y a pas d'écoute de service sur ce port, il n'y a absolument aucun risque. Protocole de contrôle de transmission (TCP) et protocole de Datagramme (UDP) de l'utilisateur (UDP), spécifiant un numéro de port source et de destination dans leurs en-têtes, de sorte qu'il n'y a pas de service à y répondre, aucune connexion n'est pas établie et que la prise sera fermée.