我正在嘗試加強 Linux Web 伺服器的安全性。它有一個帶有預設規則集的硬體防火牆,我注意到兩個與我相關的規則:
remote port: 123; local port: ANY; protocol: UDP; action: ALLOW
remote port: 53; local port: ANY; protocol: UDP; action: ALLOW
這些是伺服器提供者為Linux Web 和郵件伺服器設定的預設規則的一部分,但我對此表示質疑,因為如果攻擊者僅使用UDP 協定並從任一連接埠進行操作,它似乎允許連接到伺服器上的所有端口53 或端口 123 在他那一端。
我試圖研究它,但我仍然感到困惑。刪除這些規則是否安全(這會影響伺服器的操作),或者如果它們保持開啟狀態,是否會使伺服器非常容易受到攻擊,因為它顯然允許 UDP 連接到伺服器上的所有連接埠?
答案1
UDP 53 用於 DNS,UDP 123 用於 NTP。我想說,如果您不需要從外部存取這些服務,那麼刪除這些是省錢的。
我甚至建議封鎖端口123,因為較舊的 NTP 伺服器有問題,有時會導致它們被用於 DDoS 攻擊。
答案2
大多數防火牆規則都有一個應用方向,這兩個規則可能適用於離開的資料包,而不是傳入的資料包。包。
大多數防火牆會追蹤一些狀態訊息,然後允許回應封包從同一遠端 IP:連接埠返回本機 IP:連接埠。
localsystem:13321 --> DNS packet to ---> remote system:53
remote system:53 --> DNS reply to ---> 192.168.5.5:13321