ポートはnmapから見える必要がありますか?
ファイアウォールが内部ネットワークの外部に多くのポートを公開していることを発見したとき、私は現在ファイアウォールに取り組んでいます。 FTPサーバーの基本的なnmapスキャンを使用して新しいFTPサーバーをセットアップするときに、これを発見しました。
スキャンにより、100を超えるポートが開いていることがわかります。これはセキュリティの脆弱性ですか?開いている間、これらのポートをnmapから隠す方法はありますか?これらのポートを除外する必要がありますか?
一部のポートは、ssh、http、https、socks、ftp、postgresqlで、一部のポートには不明のラベルが付けられています。
いいえ、開いているポートを賢明な方法で非表示にすることはできません。接続を受け入れるポートは、nmapがテストするものであり、開いているポートのdefinitionでもあります。
これはセキュリティリスクである場合とそうでない場合があり、望ましくない場合もあります。これは、ニーズとアプリケーションによって異なります。 Webサーバーを実行しない場合は、開いたままにする理由はありません。 postgresqlが外部からアクセスできるようにするつもりがない場合は、それを許可する理由はありません。
必要なトラフィックのみを許可し、他のトラフィックをブロックする必要があります。これはどのトラフィックですか。自分で定義する必要があります。
ファイアウォールにルールを挿入して、特定のネットワークアドレスまたはネットワークアドレス範囲から特定のポートへのアクセスのみを許可することもできます。多分あなたのpostgresqlサーバーはあなたの開発者だけがアクセスできるべきであり、あなたはあなたの開発者が使うISPだけにそのポートを制限することができます。これは管理負担の増加ですが、一部の人には適切な場合があります。
これは無関係ですが、ftpからsftpに移行することもお勧めします。 sftpは、ほとんどの人にとってftpよりも安全で使いやすいという幸せな立場にあります。 (例外はanonymous ftpですが、httpはほとんどこのユースケースに取って代わりました。)