Vous pouvez bloquer les ports susceptibles d'être utilisés pour attaquer votre réseau. Le Firebox refuse tout le trafic aux ports bloqués sur toutes les interfaces externes. En bloquant vos ports, vous protégez vos services les plus vulnérables.
Lorsque vous bloquez un port, vous annulez toutes les règles de vos définitions de stratégie. Pour bloquer un port, consultez Bloquer un Port.
Ports bloqués par défaut
Dans la configuration par défaut, le Firebox bloque certains ports de destination. En règle générale, il est inutile de modifier cette configuration par défaut. Les paquets TCP et UDP sont bloqués pour les ports suivants :
port 0
Ce port est systématiquement bloqué par le Firebox. Vous ne pouvez pas autoriser le trafic entre le port 0 et le périphérique.
port 1
Le service TCPmux utilise le port 1, mais cela arrive rarement. Vous pouvez le bloquer et ainsi rendre l'examen des ports par les outils plus difficile.
Portmapper RPC (port 111)
Les services RPC utilisent le port 111 pour rechercher les ports employés par un serveur RPC spécifique. Les services RPC sont très vulnérables via Internet.
Le portmapper utilise fréquemment le port 2049 pour le système de gestion de fichiers en réseau. Si vous employez ce système, vérifiez que le port 2049 lui est dédié sur l'ensemble des ordinateurs.
rlogin, rsh, rcp (ports 513 et 514)
Ces services permettent d'accéder à d'autres ordinateurs à distance. Ils constituent un risque en matière de sécurité et de nombreux pirates les explorent.
X Window System (ports 6000-6005)
La connexion au client X Window System (ou X-Windows) n'est pas chiffrée, c'est pourquoi il est dangereux d'y avoir recours sur Internet.
Système de gestion de fichiers en réseau (NFS) (port 2049)
Le système de gestion de fichiers en réseau (NFS) est un service TCP/IP couramment utilisé permettant à un grand nombre d'utilisateurs de manipuler les mêmes fichiers au sein d'un réseau. Dans les nouvelles versions de ce système, d'importants problèmes d'authentification et de sécurité ont été mis à jour. Il peut être très dangereux de fournir ce type de système sur Internet.
X Font Server (port 7100)
De nombreuses versions de X-Windows exécutent des serveurs X Font Server. Ces derniers jouent le rôle de super utilisateur sur certains hôtes.
port 8000
Ce port est utilisé pour la gestion système par de nombreux fournisseurs et les logiciels des fournisseurs peuvent présenter des failles. De nombreux proxies Web utilisent également ce port comme port HTTP alternatif. Ce port est aussi utilisé pour la communication par certaines formes de programmes malveillants.
Si vous devez autoriser le trafic sur l'un des ports bloqués par défaut pour utiliser les applications logicielles associées, nous vous recommandons de n'autoriser le trafic que par un tunnel VPN. Vous devriez également activer IPS dans vos stratégies pour améliorer la sécurité.