Would it be a bad idea to unblock all the ports in my router?
Sim.
tl; dr
Eu não pensaria em abrir portas em um roteador que não atendesse a um propósito legítimo em minha rede e, mesmo assim, vou querer filtrar o tráfego nessas portas.
Raciocínio
Para fins de discussão, 'portas' geralmente não são onde está uma vulnerabilidade específica, mas sim qual serviço ou aplicativo está escutando em tal e tal porta.
As conexões para as portas são stateful. Eles têm uma fonte e um endereço de destino. Quando seu firewall bloqueia uma porta, ele não apenas desativa essa porta, mas também impede conexões 'de saída' ou 'recebidas' e leva em consideração o estado de cada conexão.
Com relação às informações que você ouviu sobre as portas abertas no Linux, que as 'portas abertas não são muito vulneráveis', considere o seguinte:
Cenário 1
Negar toda a entrada que não está estabelecida, permitir toda a saída
Temos um roteador que bloqueia todas as conexões de entrada para todas as portas que ainda não estão estabelecidas por uma conexão de saída permitida. A menos que você esteja iniciando a conexão por dentro e estabeleça a conexão, ninguém pode se conectar a partir do exterior. Imagine também que todas as conexões de saída em todas as portas estejam abertas. Isso é seguro?
Cenário 2
Permitir todas as entradas, permitir todas as saídas
O mesmo que acima, mas o roteador também permite conexões de saída não estabelecidas em todas as portas, também conhecidas como configuração de 'abertura ampla'. Isso é menos seguro?
Cenário 3
Negar toda a entrada, filtrar toda a saída
Difere do Cenário 1 apenas porque o firewall também está configurado para permitir apenas certas conexões de saída em portas brancas permitidas específicas (por exemplo, 443
, 80
, 22
). Isso é mais seguro?
Conclusão
Não levando em consideração a tradução de endereços de rede ...
A menos que você realmente não se importe com segurança, eu diria que o Cenário 3 é o único cenário dos três cenários excessivamente simplistas acima que é remotamente seguro. Lista de permissões explícitas de conexões de saída permitidas e lista branca explícita (ou rejeição completa) de conexões de entrada.
O cenário 2 está apenas esperando que alguém encontre uma vulnerabilidade para explorar em qualquer serviço ou programa que esteja escutando em uma porta. A configuração concedida de nat
está além do escopo desta resposta, e a maioria dos roteadores não escutam muito mais se não houver nat
ting acontecendo.
O cenário 1 parece mais seguro do que o cenário horrível 2, mas, na verdade, se houver algum programa malicioso implantado em sua rede, é possível que ele alcance seu firewall e cause todo o mal em sua rede com essa configuração. Cryptolocker Estou olhando para você. Este tipo de configuração de roteador é de longe o mais comum, mas é apenas um pouco mais seguro do que o Cenário 2 (leia não tanto).