%20de%20Linux%20permite%20conexiones%20UDP%20a%20cualquier%20puerto%20local%20desde%20los%20puertos%20remotos%2053%20y%20123.%20%C2%BFEs%20esto%20seguro%3F.png)
Estoy intentando reforzar la seguridad en un servidor web Linux. Tiene un firewall de hardware con un conjunto de reglas predeterminado y noté dos reglas que me preocupan:
remote port: 123; local port: ANY; protocol: UDP; action: ALLOW
remote port: 53; local port: ANY; protocol: UDP; action: ALLOW
Estas eran parte del conjunto de reglas predeterminado del proveedor del servidor para un servidor web y de correo Linux, pero lo cuestiono porque parece que permite conexiones a TODOS los puertos del servidor si el atacante simplemente usa el protocolo UDP y lo hace desde cualquier puerto. 53 o el puerto 123 en su extremo.
Intenté investigarlo y todavía estoy desconcertado. ¿Es seguro eliminar estas reglas (eso afectará el funcionamiento del servidor) o si se dejan abiertas hace que el servidor sea muy vulnerable ya que aparentemente permite conexiones UDP a todos los puertos del servidor?
Respuesta1
UDP 53 se utiliza para DNS y UDP 123 se utiliza para NTP. Yo diría que es seguro eliminarlos si no necesita acceso desde fuera a estos servicios.
Incluso recomendaría bloquear el puerto, 123ya que hay problemas con los servidores NTP más antiguos, lo que a veces lleva a que se utilicen en ataques DDoS.
Respuesta2
La mayoría de las reglas de firewall tienen una dirección a la que se aplican y es probable que estas dos reglas se apliquen a los paquetes que salen, no a los que entran. Por lo tanto, es probable que solo permitan paquetes DNS (puerto 53) y NTP (puerto 123) salientes.
La mayoría de los firewalls rastrean cierta información de estado y luego permiten que los paquetes de respuesta regresen desde el mismo puerto IP remoto al puerto IP local.
localsystem:13321 --> DNS packet to ---> remote system:53
remote system:53 --> DNS reply to ---> 192.168.5.5:13321