%20Linux%20%D1%80%D0%B0%D0%B7%D1%80%D0%B5%D1%88%D0%B0%D0%B5%D1%82%20UDP-%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%20%D0%BA%20%D0%BB%D1%8E%D0%B1%D0%BE%D0%BC%D1%83%20%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%BC%D1%83%20%D0%BF%D0%BE%D1%80%D1%82%D1%83%20%D1%81%20%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%BD%D1%8B%D1%85%20%D0%BF%D0%BE%D1%80%D1%82%D0%BE%D0%B2%2053%20%D0%B8%20123%20%E2%80%94%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%20%D0%BB%D0%B8%20%D1%8D%D1%82%D0%BE%3F.png)
Я пытаюсь усилить безопасность на веб-сервере Linux. Он имеет аппаратный брандмауэр с набором правил по умолчанию, и я заметил два правила, которые меня беспокоят:
remote port: 123; local port: ANY; protocol: UDP; action: ALLOW
remote port: 53; local port: ANY; protocol: UDP; action: ALLOW
Они были частью набора правил по умолчанию провайдера сервера для веб- и почтового сервера Linux, но я сомневаюсь в этом, поскольку, похоже, они разрешают подключения ко ВСЕМ портам на сервере, если злоумышленник просто использует протокол UDP и делает это либо с порта 53, либо с порта 123 на своей стороне.
Я пытался исследовать это, но все еще в недоумении. Безопасно ли удалять эти правила (повлияет ли это на работу сервера) или если их оставить открытыми, сервер станет очень уязвимым, поскольку он, по-видимому, разрешает UDP-подключения ко всем портам на сервере?
решение1
UDP 53 используется для DNS, а UDP 123 — для NTP. Я бы сказал, что их можно безопасно удалить, если вам не нужен доступ извне к этим службам.
Я бы даже посоветовал заблокировать порт, 123
так как со старыми NTP-серверами существуют проблемы, из-за которых их иногда используют в DDoS-атаках.
решение2
Большинство правил брандмауэра имеют направление, к которому они применяются, и эти два правила, скорее всего, предназначены для исходящих пакетов, а не для входящих пакетов. Поэтому они, скорее всего, просто разрешают исходящие пакеты DNS (порт 53) и NTP (порт 123).
Большинство брандмауэров отслеживают некоторую информацию о состоянии, а затем разрешают ответные пакеты обратно с того же удаленного IP:порта на локальный IP:порт.
localsystem:13321 --> DNS packet to ---> remote system:53
remote system:53 --> DNS reply to ---> 192.168.5.5:13321