Linux의 개방형 포트는 공격에 덜 취약하므로 일반 데스크탑 Linux 설치에는 방화벽이 필요하지 않다고 들었습니다. 그럼에도 불구하고 내 라우터(Dlink)는 LAN에서도 특정 포트를 차단합니다.
라우터의 모든 포트를 잠금 해제하는 것은 나쁜 생각입니까?
답변1
예, 이것은 매우 나쁜 생각입니다. Linux는 실제로 다른 운영 체제보다 더 안전합니다.아무것도 없다100% 안전합니다.
예를 들어, 많은 Linux 배포판은 기본적으로 sshd를 실행하며 인터넷에서 이 포트(기본값은 22)로의 연결을 허용하면 해커나 웜이 무차별 대입 공격을 수행하여 Linux에 액세스할 수 있습니다.
답변2
라우터의 모든 포트를 잠금 해제하는 것은 나쁜 생각입니까?
예.
너무 길어요.
내 네트워크에서 합법적인 목적이 없는 라우터에서 포트를 여는 것을 고려하지 않을 것이며, 그런 경우에도 해당 포트의 트래픽을 필터링하고 싶습니다.
추리
이 논의의 목적에 따라 "포트"는 일반적으로 특정 취약점이 있는 위치가 아니라 특정 포트에서 수신 대기 중인 서비스 또는 애플리케이션을 의미합니다.
포트에 대한 연결은 상태 저장입니다. 소스 주소와 대상 주소가 있습니다. 방화벽이 포트를 차단하면 포트를 닫을 뿐만 아니라 "나가는" 또는 "들어오는" 연결도 허용하지 않으며 각 연결의 상태도 고려합니다.
Linux의 개방형 포트에 대해 "개방형 포트는 그다지 취약하지 않습니다"라고 들었던 내용과 관련하여 다음을 고려하십시오.
장면 1
설정되지 않은 모든 인바운드를 거부하고 모든 아웃바운드를 허용합니다.
허용된 나가는 연결에 의해 설정되지 않은 모든 포트에서 들어오는 모든 연결을 차단하는 라우터가 있습니다. 내부에서 연결을 시작하고 설정하지 않으면 누구도 외부에서 연결할 수 없습니다. 또한 모든 포트의 모든 아웃바운드 연결이 열려 있다고 가정합니다. 이거 안전한가요?
장면 2
모든 인바운드 허용, 모든 아웃바운드 허용
위와 동일하지만 라우터는 "완전 개방" 구성이라고도 알려진 모든 포트에서 설정되지 않은 아웃바운드 연결도 허용합니다. 이거 안전하지 않은 거 아닌가요?
장면 3
모든 인바운드 거부, 모든 아웃바운드 필터링
시나리오 1과의 유일한 차이점은 방화벽이 특정 화이트리스트 포트(예 443: , , 80, 22)에서만 특정 아웃바운드 연결을 허용하도록 구성된다는 것입니다. 이게 더 안전한가요?
결론적으로
네트워크 주소 변환을 고려하지 않습니다...
실제로 보안에 관심이 없다면 시나리오 3은 위의 세 가지 지나치게 단순한 시나리오 중 원격으로 안전한 유일한 시나리오라고 말하고 싶습니다. 허용된 아웃바운드 연결의 명시적인 화이트리스트와 인바운드 연결의 명시적인 화이트리스트(또는 완전히 차단됨).
시나리오 2는 누군가가 포트에서 수신 대기 중인 서비스나 프로그램에서 악용 가능한 취약점을 발견하기를 기다리고 있습니다. 허용된 구성은 이 답변의 범위를 벗어나며, 아무 일도 일어나지 않으면 nat대부분의 라우터는 더 이상 수신을 수행하지 않습니다 .nat
시나리오 1은 무서운 시나리오 2보다 더 안전해 보이지만 실제로는 네트워크 내에 악성 프로그램이 배포된 경우 이 구성을 사용하면 방화벽을 통과하여 네트워크에 온갖 해악을 끼칠 수 있습니다. Cryptolocker 나는 당신을보고 있습니다. 이러한 유형의 라우터 구성은 가장 일반적이지만 시나리오 2(많이 읽지 않음)보다 약간 더 안전할 뿐입니다.