En un firewall, ¿preferirías que un puerto estuviera filtrado o cerrado?
Respuesta breve
Filtrado. Un puerto filtrado descarta el paquete en silencio, así que el escáner no obtiene respuesta y debe esperar un tiempo de espera: no aprende nada sobre si el host siquiera existe, y el escaneo se ralentiza drásticamente. Un puerto cerrado devuelve un RST de TCP, que confirma que el host está vivo y respondiendo, entregando gratis al atacante valor de reconocimiento.
El instinto de que «cerrado suena más seguro que filtrado» es la trampa. Ambos bloquean la conexión, así que los candidatos asumen que son equivalentes, pero filtran cantidades de información muy distintas.
Qué le dice cada estado a un atacante
- Cerrado: el host recibió el SYN y respondió con un RST de TCP. El servicio no está escuchando, pero el host está demostrablemente vivo y accesible. El escáner obtiene una respuesta instantánea y definitiva.
- Filtrado: un firewall descarta el paquete en silencio. El escáner no obtiene nada de vuelta y debe agotar un tiempo de espera antes de reintentar, y aun así no puede saber si el puerto está cerrado, el host caído, o si una regla está bloqueando. Esa ambigüedad es exactamente lo que quieres imponer a un atacante.
Por qué gana filtrado
Dos razones. Primero, la privación de información: un descarte le niega al atacante la confirmación de que siquiera hay algo ahí, así que no puede mapear limpiamente tu superficie de ataque. Segundo, el coste del escaneo: los RST hacen los escaneos rápidos y fiables, mientras que los descartes fuerzan al escáner a lentos ciclos de retransmisión/espera, alargando el reconocimiento y haciéndolo más ruidoso y fácil de detectar. Por eso una política de firewall de descarte por defecto es la recomendación estándar de fortalecimiento.
El compromiso honesto
El descarte silencioso puede complicar la resolución de problemas legítima y ralentizar tus propios diagnósticos, ya que los fallos se ven idénticos a un host muerto. Es un precio que vale la pena pagar en el perímetro.
Qué buscan los entrevistadores
La elección de filtrado más el razonamiento: RST = confirmación y velocidad para el atacante, descarte = ninguna información y escaneo lento y costoso. Conocer la taxonomía abierto/cerrado/filtrado de Nmap lo remata.
Posibles preguntas de seguimiento
- ¿Cómo distingue Nmap los puertos abiertos, cerrados y filtrados?
- ¿Cuál es el inconveniente de una política de descarte por defecto para la resolución de problemas legítima?
- ¿Por qué el descarte silencioso ralentiza tanto un escaneo de puertos?