Um sistema sem serviços de rede em execução precisa de um firewall?

Resposta curta: Sim, sim!

Vamos supor que nenhum outro serviço será iniciado por acidente e que você não perceberá de repente que precisa de um serviço em execução com pressa e, em seguida, deseja que o firewall já tenha sido configurado adequadamente: -)

Embora menos provável no FreeBSD talvez, é possível que aplicações às vezes abram portas temporariamente. Se nenhum firewall estiver presente, eles aparecerão.

O FreeBSD responderá aos hosts mesmo que não haja serviços em execução. Ele pode responder a solicitações de eco ICMP (pings) e também responderá quando um host tentar se conectar a uma porta (ou fingir tentar se conectar a uma porta), para permitir que o host saiba que a porta está fechada.

Essas respostas permitirão que os invasores saibam que a caixa está lá e não foi protegida. Isso é uma certeza e é fácil para os invasores fazerem.

Um pouco menos fácil, é que ele também responderá de forma a permitir que atacantes determinem que está executando o FreeBSD.

Outra questão é que o FreeBSD está tendo algum nível de interação para dizer aos outros sistemas que suas portas estão fechadas. Nesse caso, existe a possibilidade de uma exploração pela qual um pacote criado com códigos maliciosos pode ter um efeito adverso no sistema, causando uma falha ou outro problema. Embora não haja vulnerabilidades conhecidas deste tipo para o FreeBSD mais recente, ainda é outro motivo para ter um firewall.

Outro problema é que os invasores podem falsificar o IP de origem e enviar os tipos de solicitações mencionados acima para a sua caixa, mas com um endereço IP de origem falsificado. Nesse caso, a caixa do FreeBSD responderá ao endereço IP de origem falsificado, e não ao invasor. Então, quem quer que esteja no IP falsificado vai se perguntar por que sua caixa do FreeBSD está enviando respostas para ela.

De qualquer forma, você tem três opções de firewall no FreeBSD. pf, ipfilter ou ipfw. Tenho certeza que com algumas regras simples para bloquear todo o tráfego de entrada (exceto o que está relacionado a pedidos originados da própria caixa do FreeBSD) será suficiente para protegê-lo de todos os problemas mencionados acima.

Faça outra pergunta se você quer saber qual dos 3 acima é o melhor, ou como configurar um dos 3 acima com as regras corretas, já que eu estou mais familiarizado com o Linux ;-) Embora eu tenha ouvido que pf é bom, e não ouviu muito sobre os outros.

link

Um sistema sem serviços de rede em execução precisa de um firewall?

Sim.

Se um sistema tiver um endereço de rede, os pacotes poderão ser roteados para ele. O kernel processa pacotes, mesmo que não haja sockets de aplicativos abertos. Houve muitas vulnerabilidades do kernel que permitem a falha de sistemas e algumas que até mesmo permitem fazer alterações no sistema ou alterar o comportamento do sistema por meio de bugs do kernel.

Se o sistema for usado por uma pessoa que abrirá aplicativos que conversam de saída na rede, pode haver portas de ouvinte efêmeras abertas que possam introduzir vulnerabilidades no nível do aplicativo. Embora a intenção seja apenas para comunicações de saída, os aplicativos podem abrir soquetes que permitem conectividade de entrada, mesmo que temporariamente.