iptablesがすべてのトラフィックをドロップした場合にマシンに侵入する方法はありますか?
空のコンピューターにLinuxをインストールし(他のOSはなく、ディスクはインストール用にフォーマットされている)、これをiptablesで構成するとします。
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
その後、このマシンはインターネットに直接接続されます(トラフィックが出入りしないため、インターネットは機能しません)。
このマシンはどのくらい安全ですか?このマシンに侵入する方法はありますか?このマシンから任意のファイルを読み取ることとして「侵入」を定義しましょう。
OSが重要な場合は、最新のUbuntuServerエディションと基本のみがインストールされたArchLinuxを使用した場合の動作を自由に比較してください。
ネットワークケーブルを完全に切断しなくても、できるだけ安全になります。まだ危険にさらされる可能性があると私が考える唯一の方法は、カーネル、iptablesモジュール、またはNICドライバーにバグがある場合です。
そのプロトコルをリッスンしている脆弱なサーバーがある場合、最も明白なものはIPv6です。他のネットワークプロトコルが原因である可能性があります。
リモート攻撃からマシンを保護するために、すべてのIPv4トラフィックをドロップする必要はありません。脆弱なサービスを実行しないことで十分です。この点では、適切なOSのデフォルトインストールで問題ありません。
あなたが妄想的で、使用しているソフトウェアが合理的にバグがないことを信頼していない場合は、コンピュータをまったく使用しないでください。標準的なアドバイスは、電源をオフにしておくことですが、それだけでは十分ではありません。BIOSに buggy wake-on-LAN (電源がオフになっているコンピューターが悪用され、スイッチがオンになっている場合)がある可能性があります。脆弱性を取り除きます!)。