Разблокирование всех портов маршрутизатора при использовании Linux
Для разумных имён файлов и каталогов (не начинающихся с пробела, без новых строк) это работает:
Да, это очень плохая идея, это правда, что Linux более безопасен, чем другие ОС, но ничто не является на 100% безопасным.
Например, во многих дистрибутивах Linux по умолчанию запущен sshd. Если вы разрешите подключение из Интернета к этому порту (по умолчанию 22), хакер или червь могут провести атаку методом грубой силы и получить доступ к вашему Linux.
Было бы неплохо разблокировать все порты в моем роутер?
Да.
tl; dr
Я бы не подумал об открытии портов на маршрутизаторе, который не служил законной цели в моей сети, и даже тогда я захочу фильтровать трафик на этих портах.
Обоснование
В целях обсуждения «порты» обычно не являются местом, где находится конкретная уязвимость, а скорее то, какая служба или приложение прослушивает такой-то порт.
Соединения с портами отслеживают состояние. У них есть адрес источника и адрес назначения. Когда ваш брандмауэр блокирует порт, он не просто отключает этот порт, он либо запрещает «исходящие», либо «входящие» соединения, а также принимает во внимание состояние каждого соединения.
Что касается информации, которую вы слышали об открытых портах в Linux, то «открытые порты не очень уязвимы», рассмотрите следующее:
Сценарий 1
Запретить все входящие, которые не установлены, разрешить все исходящие
У нас есть маршрутизатор, который блокирует все входящие подключения ко всем портам, которые еще не установлены разрешенным исходящим подключением. Если вы не инициируете соединение изнутри и не устанавливаете соединение, никто не сможет подключиться извне. Также представьте, что все исходящие соединения на всех портах открыты.Это безопасно?
Сценарий 2
Разрешить все входящие, разрешить все исходящие
То же, что и выше, но маршрутизатор также разрешает неустановленные исходящие подключения на всех портах, также известную как конфигурация «широко открыта». Это менее безопасно?
Сценарий 3
Запретить все входящие, отфильтровать все исходящие
Отличается от сценария 1 только тем, что брандмауэр также настроен так, чтобы разрешать только определенные исходящие подключения на определенных портах из белого списка (например, 443 , 80 , 22 ). Это безопаснее?
Заключение
Без учета трансляции сетевых адресов ...
Если вы действительно не заботитесь о безопасности, я бы сказал, что Сценарий 3 - единственный сценарий из трех чрезмерно упрощенных сценариев выше, который удаленно безопасно. Явный белый список разрешенных исходящих подключений и явный белый список (или полное запрещение) входящих подключений.
Сценарий 2 просто ожидает, когда кто-то найдет уязвимость для использования в любой службе или программе, которая прослушивает порт. Допустимая конфигурация nat выходит за рамки этого ответа, и большинство маршрутизаторов не слушают намного больше, если не происходит nat ting.
Сценарий 1 выглядит более безопасным, чем ужасный сценарий 2, но на самом деле, если есть какие-либо вредоносные программы, которые развертываются из вашей сети, они могут проникнуть через ваш брандмауэр и сеять все виды зла в вашей сети с этой конфигурацией. Cryptolocker Я смотрю на тебя.Этот тип конфигурации маршрутизатора является наиболее распространенным, но он лишь немного безопаснее, чем сценарий 2 (читайте не так много).