Ubuntu 16.04 Server Editionを実行しているホームサーバーがあります。ルーターがサーバーに転送するいくつかのポートがあり、サーバーのufw
は、LANの外部のサービスにアクセスできるように許可します。つまり、カスタムポートでSSHを使用できます(ルーターが転送用にポート22をブロックするため) )、WebサーバーのHTTPおよびHTTPSのポート80および443。開発目的でポートを開きたい-特に、特定のサービス/プロトコルに関連付けられていないポート9991。ほとんどの場合、このポートをリッスンする開発サーバーは実行されません。ただし、ルーターはこのポートの要求をサーバーに転送しますが、これはufw
によって許可されます。ポートでリッスンしているサービスがなく、着信接続に対して開いている場合、セキュリティ上の脅威はありますか?
Nmapの用語では、「オープン」ポートは通常、サービスがバインドされ、リスニングしているポートです。それ以外の場合、ポートは開いていません。
ただし、ファイアウォールでポートを開くことについて質問しているようです。つまり、リモートホストがファイアウォールを介してサーバーのポート9991に接続できるようにします。このポートに何もバインドされておらず、それらの接続試行が拒否された場合でも同様です。しかし、これにはいくつかのリスクがあります。
サーバーが危険にさらされている場合、そのポートでHTTPサーバーを実行し、それを使用して違法なコンテンツ(ランサムウェアバイナリ、ホストC&Cサーバーなど)を拡散することができます。
さらに、企業のセットアップでは、この侵害されたサーバーは組織内の他のマシン(インターネットに接続できないマシンを含む)を、このサーバーを指すフィッシング攻撃を介して感染させるためにも使用できます。企業ユーザーは外部サーバーよりも内部サーバーを信頼する可能性があるため、これは成功の可能性が高くなります。
最後に、侵害されたサーバーに簡単にアクセスできるようにすることは、このポートでリッスンしているsshdを起動するだけの方がはるかに簡単です。
ポートの背後にサーバーがない場合、技術的に開かれていません。私はあなたの質問はもっと多いと思います:ファイアウォールでブロックされないサーバーのないポートを持つリスクはありますか?
私の答えは2つに分けられます。まず、そのポートでリッスンしているサーバーがないため、実際のリスクはありません。しかし、ファイアウォールの設定が不十分であることを示しています。
最良のセキュリティプラクティスでは、ファイアウォールが不要なものをブロックすることを推奨しています。これは、関心の分離の原則の単なるアプリケーションです。ファイアウォール管理者は、サーバーの構成方法を正確に知る必要はなく、必要なチャネルを考慮して他のすべてをブロックするだけです。
そのため、差し迫ったリスクがない場合でも、ファイアウォールレベルでポートをブロックしないことは、依然として不適切な構成です。
いいえ、そのポートでリッスンしているサービスがない場合、リスクはまったくありません。伝送制御プロトコル(TCP)とユーザーデータグラムプロトコル(UDP)は、ヘッダーに送信元と宛先のポート番号を指定するので、そこに応答するサービスがない場合は接続が確立されず、ソケットが閉じられます。