%20%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%81%AE%E3%83%8F%E3%83%BC%E3%83%89%E3%82%A6%E3%82%A7%E3%82%A2%20%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB%E3%81%A7%E3%81%AF%E3%80%81%E3%83%AA%E3%83%A2%E3%83%BC%E3%83%88%20%E3%83%9D%E3%83%BC%E3%83%88%2053%20%E3%81%8A%E3%82%88%E3%81%B3%20123%20%E3%81%8B%E3%82%89%E4%BB%BB%E6%84%8F%E3%81%AE%E3%83%AD%E3%83%BC%E3%82%AB%E3%83%AB%20%E3%83%9D%E3%83%BC%E3%83%88%E3%81%B8%E3%81%AE%20UDP%20%E6%8E%A5%E7%B6%9A%E3%81%8C%E8%A8%B1%E5%8F%AF%E3%81%95%E3%82%8C%E3%81%BE%E3%81%99%E3%81%8C%E3%80%81%E3%81%93%E3%82%8C%E3%81%AF%E5%AE%89%E5%85%A8%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
Linux Web サーバーのセキュリティを強化しようとしています。デフォルトのルール セットを備えたハードウェア ファイアウォールがあり、気になるルールが 2 つあることに気付きました。
remote port: 123; local port: ANY; protocol: UDP; action: ALLOW
remote port: 53; local port: ANY; protocol: UDP; action: ALLOW
これらは、Linux Web およびメール サーバー用のサーバー プロバイダーのデフォルト ルール セットの一部ですが、攻撃者が単に UDP プロトコルを使用し、自分の側でポート 53 またはポート 123 のいずれかから接続を実行すると、サーバー上のすべてのポートへの接続が許可されるように見えるため、疑問に思っています。
調べてみたのですが、まだわかりません。これらのルールを削除しても安全でしょうか (サーバーの動作に影響しますか)、それともルールを開いたままにしておくと、サーバーのすべてのポートへの UDP 接続が許可されるため、サーバーが非常に脆弱になりますか?
答え1
UDP 53 は DNS に使用され、UDP 123 は NTP に使用されます。外部からこれらのサービスにアクセスする必要がない場合は、これらを削除した方が安全です。
123古い NTP サーバーには問題があり、DDoS 攻撃に使用されることがあるため、ポートをブロックすることをお勧めします。
答え2
ほとんどのファイアウォール ルールには適用される方向があり、これらの 2 つのルールは着信パケットではなく発信パケットに適用される可能性があります。そのため、送信 DNS (ポート 53) パケットと NTP (ポート 123) パケットのみが許可される可能性があります。
ほとんどのファイアウォールは何らかの状態情報を追跡し、同じリモート IP:ポートからローカル IP:ポートへの応答パケットを許可します。
localsystem:13321 --> DNS packet to ---> remote system:53
remote system:53 --> DNS reply to ---> 192.168.5.5:13321