%20%EC%84%9C%EB%B2%84%EC%9A%A9%20%ED%95%98%EB%93%9C%EC%9B%A8%EC%96%B4%20%EB%B0%A9%ED%99%94%EB%B2%BD%EC%9D%80%20%EC%9B%90%EA%B2%A9%20%ED%8F%AC%ED%8A%B8%2053%20%EB%B0%8F%20123%EC%97%90%EC%84%9C%20%EB%AA%A8%EB%93%A0%20%EB%A1%9C%EC%BB%AC%20%ED%8F%AC%ED%8A%B8%EB%A1%9C%EC%9D%98%20UDP%20%EC%97%B0%EA%B2%B0%EC%9D%84%20%ED%97%88%EC%9A%A9%ED%95%A9%EB%8B%88%EB%8B%A4.%20%EC%9D%B4%EA%B2%83%EC%9D%B4%20%EC%95%88%EC%A0%84%ED%95%A9%EB%8B%88%EA%B9%8C%3F.png)
Linux 웹 서버의 보안을 강화하려고 합니다. 여기에는 기본 규칙 세트가 포함된 하드웨어 방화벽이 있으며 저는 저와 관련된 두 가지 규칙을 발견했습니다.
remote port: 123; local port: ANY; protocol: UDP; action: ALLOW
remote port: 53; local port: ANY; protocol: UDP; action: ALLOW
이는 Linux 웹 및 메일 서버에 대한 서버 공급자의 기본 규칙 집합의 일부였지만 공격자가 단순히 프로토콜 UDP를 사용하고 두 포트 중 하나에서 수행하는 경우 서버의 모든 포트에 대한 연결을 허용하는 것으로 나타나서 질문하고 있습니다. 그의 끝에는 53 또는 포트 123이 있습니다.
나는 그것을 조사하려고 노력했지만 여전히 의아해합니다. 이러한 규칙을 제거하는 것이 안전합니까(서버 작동에 영향을 미칩니 까?) 아니면 열려 있는 경우 서버의 모든 포트에 대한 UDP 연결을 분명히 허용하므로 서버가 매우 취약해 집니까?
답변1
UDP 53은 DNS에 사용되고 UDP 123은 NTP에 사용됩니다. 외부에서 이러한 서비스에 액세스할 필요가 없다면 이러한 서비스를 제거하는 것이 좋습니다.
123때로는 DDoS 공격에 사용되는 오래된 NTP 서버에 문제가 있기 때문에 포트 차단을 조언하고 싶습니다 .
답변2
대부분의 방화벽 규칙에는 적용되는 방향이 있으며 이 두 규칙은 들어오는 패킷이 아닌 나가는 패킷에 적용됩니다. 따라서 아웃바운드 DNS(포트 53) 및 NTP(포트 123) 패킷만 허용할 가능성이 높습니다.
대부분의 방화벽은 일부 상태 정보를 추적한 다음 동일한 원격 IP:포트에서 로컬 IP:포트로 응답 패킷을 다시 허용합니다.
localsystem:13321 --> DNS packet to ---> remote system:53
remote system:53 --> DNS reply to ---> 192.168.5.5:13321