%20Linux%20permite%20conex%C3%B5es%20UDP%20para%20qualquer%20porta%20local%20a%20partir%20das%20portas%20remotas%2053%20e%20123%20-%20isso%20%C3%A9%20seguro%3F.png)
Estou tentando aumentar a segurança em um servidor web Linux. Ele possui um firewall de hardware com um conjunto de regras padrão e notei duas regras que me preocupam:
remote port: 123; local port: ANY; protocol: UDP; action: ALLOW
remote port: 53; local port: ANY; protocol: UDP; action: ALLOW
Eles faziam parte do conjunto de regras padrão do provedor de servidor para um servidor linux web e de e-mail, mas estou questionando porque parece que ele permite conexões para TODAS as portas do servidor se o invasor simplesmente usar o protocolo UDP e fizer isso de qualquer uma das portas 53 ou porta 123 no final.
Tentei pesquisar e ainda estou confuso. É seguro remover essas regras (isso afetará a operação do servidor) ou se elas forem deixadas abertas, isso tornará o servidor muito vulnerável, pois aparentemente permite conexões UDP a todas as portas do servidor?
Responder1
UDP 53 é usado para DNS e UDP 123 é usado para NTP. Eu diria que é seguro removê-los se você não precisar de acesso externo a esses serviços.
Eu até aconselharia o bloqueio da porta 123, pois há problemas com servidores NTP mais antigos, o que às vezes os leva a serem usados em ataques DDoS.
Responder2
A maioria das regras de firewall tem uma direção à qual são aplicadas e essas duas regras são prováveis para pacotes que saem e não para pacotes que entram. Portanto, elas provavelmente permitem apenas pacotes DNS de saída (porta 53) e NTP (porta 123).
A maioria dos firewalls rastreia algumas informações de estado e então permite pacotes de resposta de volta do mesmo IP:porto remoto para o IP:porta local.
localsystem:13321 --> DNS packet to ---> remote system:53
remote system:53 --> DNS reply to ---> 192.168.5.5:13321