Server%20erm%C3%B6glicht%20UDP-Verbindungen%20zu%20jedem%20lokalen%20Port%20von%20den%20Remote-Ports%2053%20und%20123%20aus%20%E2%80%93%20ist%20das%20sicher%3F.png)
Ich versuche, die Sicherheit auf einem Linux-Webserver zu erhöhen. Er verfügt über eine Hardware-Firewall mit einem Standardregelsatz und mir sind zwei Regeln aufgefallen, die mir Sorgen bereiten:
remote port: 123; local port: ANY; protocol: UDP; action: ALLOW
remote port: 53; local port: ANY; protocol: UDP; action: ALLOW
Diese waren Teil des Standardregelsatzes des Serveranbieters für einen Linux-Web- und Mailserver, aber ich stelle dies in Frage, da es den Anschein hat, dass Verbindungen zu ALLEN Ports auf dem Server zugelassen werden, wenn der Angreifer einfach das Protokoll UDP verwendet und dies auf seiner Seite entweder von Port 53 oder Port 123 aus tut.
Ich habe versucht, das herauszufinden, bin aber immer noch ratlos. Ist es sicher, diese Regeln zu entfernen (beeinträchtigt das den Betrieb des Servers) oder macht es den Server sehr anfällig, wenn sie offen gelassen werden, da es anscheinend UDP-Verbindungen zu allen Ports auf dem Server zulässt?
Antwort1
UDP 53 wird für DNS und UDP 123 für NTP verwendet. Ich würde sagen, es ist sicher, diese zu entfernen, wenn Sie keinen externen Zugriff auf diese Dienste benötigen.
Ich würde sogar empfehlen, den Port zu blockieren, 123da es Probleme mit älteren NTP-Servern gibt, die manchmal dazu führen, dass sie für DDoS-Angriffe verwendet werden.
Antwort2
Die meisten Firewall-Regeln gelten in eine bestimmte Richtung und diese beiden Regeln gelten wahrscheinlich für ausgehende Pakete, nicht für eingehende Pakete. Daher lassen sie wahrscheinlich nur ausgehende DNS- (Port 53) und NTP-Pakete (Port 123) zu.
Die meisten Firewalls verfolgen bestimmte Statusinformationen und lassen dann Antwortpakete vom gleichen Remote-IP-Port zurück zum lokalen IP-Port zu.
localsystem:13321 --> DNS packet to ---> remote system:53
remote system:53 --> DNS reply to ---> 192.168.5.5:13321