Utilizando el cortafuegos no complicado ufw, puedo configurar puertos/servicios para rechazar y denegar.ufw Diferencia de firewall de Linux entre rechazo y denegación
Por ejemplo:
ufw deny www
ufw reject www
Puede alguien explicarme la diferencia entre los dos enfoques?
"deny" utiliza el objetivo DROP iptables, que descarta de forma silenciosa los paquetes entrantes.
"rechazar" utiliza el objetivo REJECT iptables, que envía de vuelta un paquete de error al remitente del paquete rechazado.
Desde el ufw manual page:
A veces es deseable dejar que el remitente saber cuando el tráfico está siendo negó, en lugar de simplemente ignorarlo. En estos casos, use el rechazo en lugar de denegar.
Desde el punto de vista del usuario/programa que está intentando conectarse a su servidor:
"negar" mantendrá el programa espera hasta que agote el tiempo de espera de conexión, algunos poco tiempo luego.
"Reject" producirá un mensaje inmediato y muy informativo de "Conexión rechazada".
EDIT:
Desde el punto de vista de la seguridad "negar" es ligeramente preferible. Forzará todas las conexiones de un atacante potencial a un tiempo de espera, lo que ralentizará el sondeo de su servidor.
Los atacantes experimentados y/o determinados no se verán realmente afectados; por lo general, son pacientes y, de todos modos, hay varias formas de lidiar con la ralentización. Sin embargo, podría desalentar al aspirante ocasional que ni siquiera se molestó en leer la página del manual nmap.
"deny" también ahorrará un poco de ancho de banda en el enlace ascendente al no enviar el paquete de error. Esto podría ser importante en las conexiones asimétricas de red donde un ataque DoS simplemente podría saturar el enlace ascendente, generalmente más estrecho, con paquetes de error.
Por otro lado, es un poco más educado que la gente sepa que está rechazando sus conexiones. Una conexión rechazada permite que las personas sepan que probablemente se trate de una decisión de política permanente, en lugar de, por ejemplo, una. un problema de redes a corto plazo.
La desaceleración no es realmente el principal beneficio de seguridad de DROP. Más bien es el hecho de que el atacante no puede decir que hay ningún servicio funcionando. Esto significa que los atacantes que están escaneando grandes rangos de direcciones IP para puertos abiertos probablemente se moverán de los suyos si usa DROP, mientras que si RECHAZA se convierten en un objetivo para una mayor investigación de vulnerabilidades en el (los) puerto (s) correspondiente (s), porque usted regalado que algo está escuchando. – JBentley