ファイアウォールがあります(脳脊髄液)、着信および発信TCPポートを個別に許可できます。私の質問は、誰かがなぜ欲しいのかです。どのアウトバウンドポートは閉じていますか?
私は基本的にあなたがおそらく欲しいことを知っていますみんなポート着信接続のために閉じる。 HTTPサーバーを実行している場合は、ここでポート80を開く必要があります。 FTP サーバーをアクティブモードで実行するには、ポート 21 を開く必要があります。ただし、手動 FTP モードに設定されている場合、FTP クライアントのデータ接続を受け入れるには多数のポートが必要です。追加サービスには等が必要です。しかし、それはすべてです。サーバーが提供する特定のサービスに関連していない残りのポート、特にデフォルトではクライアントシステムの場合は閉じる必要があります。
しかし、薬発信接続?アウトバウンド接続の宛先ポートを閉じると、セキュリティ上の利点はありますか?私がこの質問をしたのは、最初に着信接続に対してすべてのポートを閉じる非常に似たポリシーが適用される可能性があると考えたからです。しかし、例えばパッシブFTPモードでクライアントとして機能する場合、任意の高いポートがFTPサーバーに接続しようとすることに気づきました。したがって、クライアントがこれらの高いポートをブロックすると、そのクライアントで手動FTPが効果的に無効になります。これは迷惑なことです。すべてを公開したいのですが、これがセキュリティの脅威になる可能性があることが心配です。
そうですか?これは悪い考えですか、それとも手動FTPなどのサービスを容易にするために発信接続のためにすべて(または多くの)ポートを開くことには明らかな欠点がありますか?
答え1
誰かが出てくるポートを閉じたいと思う理由はいくつかあります。以下は、異なる時間に異なるサーバーに適用したいくつかの点です。
- コンピュータが企業環境にあり、トラフィックがプロキシを通過するアウトバウンドWebトラフィックのみが許可されます。他のすべてのポートは必要ないため、閉じています。
- マシンは実行可能なコード(PHP、Ruby、Python、Perlなど)を持つWebサーバーを実行しています。可能なコード欠陥を軽減するために、意図されたアウトバウンドサービスのみが許可されます。
- コンピュータで実行されているサービスまたはアプリケーションはリモートリソースに接続しようとしますが、サーバー管理者はそれを望んでいません。
- 模範的なセキュリティ慣行:明示的に許可されていないコンテンツは拒否する必要があります。
答え2
@roaimaの答えを拡張すると、次のようになります。
深い防御。
サーバーがマルウェアによって破損していると想像してください。マルウェアはスパムメールを送信しようとするプログラムをインストールします。ポート25からの接続を拒否することで、プログラムの試みをブロックしてダメージを制限できます。 (スパムプロセスはサーバー上で実行され続けるため、できるだけ早く処理する必要があります。)
答え3
サーバーがマルウェアによって破損している場合は、通常、展開するペイロード(ランサムウェア、サイドシフト、スパム、ビットコインの採掘など)を取得するためにコマンドと制御と通信する必要があります。
インターネットにアクセスできないと、試行に失敗する可能性があります。マルウェアがどこにあるのか気にしないほど十分に一般的な場合(つまり、ターゲット攻撃ではない場合)、確率は高いです。
答え4
上記の回答に加えて、ファイアウォールルールまたは設定の構成によっては、発信接続の拒否ルールを組み合わせると、ファイアウォールに拒否された発信接続ポートを記録するように要求される可能性があります。これにより、ファイアウォール管理デバイスを超える可能性があります。ファイアウォールはログを残して悪い状態になりますが、サーバーに注意が必要なだけでなく、そもそも奇妙に行動しているという事実をITに知らせます。
潜在的なマルウェアが失敗した接続試行を独自に記録しない可能性があるため、これらのログは便利です。