perchè usare un firewall

[james]

Ho una debian con iptables con tutte le porte aperte, con questa situazione, un port scanner mi rileva, ovviamente, solo le porte aperte dei servizi attivi, tipo, ho solo apache in esecuzione, il portscanner mi rileva solo la porta 80 aperta.

Ora, se vado a chiudere tutte le porte con iptables e lascio aperta solo la porta 80, il portscanner rileva la stessa condizione di prima, tutto chiuso con porta 80 aperta, ed è ovvio che sia così, perchè i port scanner fanno una richiesta su ogni singola porta e se il server risponde significa che la porta è aperta, ma se non c'è nulla in ascolto, perchè è più sicuro chiudere le porte con iptables? Tanto se non ci sono servizi in ascolto risultano cmq porte chiuse, no? O meglio, porte con nessun servizio attivo.

Detto in parole povere, che cambia tra, bloccare le porte se non ci sono servizi attivi? Tanto non risponderebbe nessuno! Dove stanno le falle di sicurezza?

Capisco che la domanda potrebbe sembrare stupida...

[billiejoex]

Detto in parole povere, che cambia tra, bloccare le porte se non ci sono servizi attivi?

Direi nulla...
Considera, cmq, che il chiudere o aprire porte è solo una delle features che hai a disposizione, e che iptables/ipchains non è solamente un firewall dato che puoi agire su moltissimi aspetti dello stack di rete.
Agendo su iptables puoi, ad esempio, settare un numero massimo di connessioni su una data porta (protezione da DoS), effettuare load balancing distribuendo/dirottando il traffico su più server, evitare che determinati range di IP potenzialmente pericolosi possano connettersi, impartire regole di routing 'ad hoc', rejectare sorgenti di traffico aventi all'interno del payload stringhe potenzialmente pericolose (es: ".exe") e decine di altre cose di questo tipo.
Una buona configurazione di iptables non si attua solamente garantendo/negando l'accesso a determinate porte. Uno script di configurazione studiato in modo intelligente che andrà a decidere la configurazione di rete di un server di produzione, generalmente può essere lungo anche diverse centinaia di lineee.

[james]

Originariamente inviato da billiejoex
Direi nulla...
Considera, cmq, che il chiudere o aprire porte è solo una delle features che hai a disposizione, e che iptables/ipchains non è solamente un firewall dato che puoi agire su moltissimi aspetti dello stack di rete.
Agendo su iptables puoi, ad esempio, settare un numero massimo di connessioni su una data porta (protezione da DoS), effettuare load balancing distribuendo/dirottando il traffico su più server, evitare che determinati range di IP potenzialmente pericolosi possano connettersi, impartire regole di routing 'ad hoc', rejectare sorgenti di traffico aventi all'interno del payload stringhe potenzialmente pericolose (es: ".exe") e decine di altre cose di questo tipo.
Una buona configurazione di iptables non si attua solamente garantendo/negando l'accesso a determinate porte. Uno script di configurazione studiato in modo intelligente che andrà a decidere la configurazione di rete di un server di produzione, generalmente può essere lungo anche diverse centinaia di lineee.

grazie della risposta, almeno ho percepito un po' il senso della questione