Sicherheit und Mängel der offenen Ports?

2325
nick

Ok, hier ist meine Ausgabe. Vor einiger Zeit wollte ein Freund ein paar Dateien von mir holen, also gab ich ihm meine AFP-Adresse (Apple File Protocol). Ähnlich wie FTP SSH oder SMB. Es ist cool für Mac-Benutzer und das war's auch schon. Er war wirklich überrascht, dass ich diesen Port weiterleitete, und warnte mich davor, alle Ports, ssh, ftp, afp, smb, torrent usw. zu schließen. Grundlegende Schließung aller Ports zu meinem Haus. Er sagte, dass ich nur einen Port offen haben sollte und dass VPN hinter meiner Firewall ist und ich dann auf alle meine Protokolle und mehr zugreifen kann. Ich verstehe, dass dies sicherer ist. Aber es ist wirklich langsam. Ich bin ein Fotograf und muss möglicherweise Dateien herunterladen, die 20 bis 30 GB groß sind. Ohne das VPN hat dies lange gedauert. Mit VPN dauert es sogar noch länger.

Ist es wirklich notwendig, dass alle Ports geschlossen sind. Ich habe sehr lange ausgefeilte Passwörter, die aus Lippen, Ziffern und Kleinbuchstaben bestehen, die alle gemischt sind und nicht ein einziges Wörterbuch oder Akronyme enthalten.

Kann ich meinen AFP-Port öffnen? Was sind die Chancen / Risiken eines DDOS- oder sogar Bruteforce-Angriffs?

3
Ihr zweiter Absatz ist ungewollt sehr lustig. Überprüfen Sie die Schreibweise von anspruchsvoll. vor 13 Jahren 2

2 Antworten auf die Frage

6
Jonathan Leffler

Das Problem mit einem offenen und dem Internet ausgesetzten Port besteht darin, dass ein Programm an diesem Port auf Nachrichten wartet. Wenn die eintreffenden Nachrichten fehlerhaft sind (durch die Regeln des Programms, das das Abhören durchführt), sollte die Anforderung abgelehnt und der Port geschlossen werden. Wenn das anhörende Programm jedoch Schwachstellen aufweist, kann der Angreifer möglicherweise Meldungen erstellen, die nicht abgelehnt, sondern als gültig akzeptiert werden, die jedoch nicht das tun, was Sie möchten.

Zum Beispiel Ihren AFP-Port - welche Nachrichten können an ihn gesendet werden und was können sie tun? Benötigt es zur Authentifizierung einen Benutzernamen und ein Passwort? Wenn ja, können Sie einigermaßen sicher sein, wenn alle Benutzernamen und Kennwörter, die verwendet werden könnten, sicher sind. Wenn kein Benutzername und kein Kennwort erforderlich ist oder einfache Bypässe für einen Gastbenutzer oder ähnliches vorhanden sind, lassen Sie Außenstehende in Ihr System ein und können (unabhängig von Fehlern in den AFP-Programmen) alles tun, was das Protokoll zulässt. Kennen Sie alle möglichen Vorgänge, die über AFP angefordert werden können? Wirklich alle oder nur die dokumentierten? Sind sie alle sicher? Stört es Sie, dass jemand Ihre ... privaten Daten sehen kann?

Wenn AFP eine Authentifizierung erfordert und Sie sicher sind, dass die Authentifizierung sicher ist, unabhängig davon, was darauf gerichtet ist. Wenn also nur jemand Ihre Benutzernamen und die entsprechenden Kennwörter kennt, können Sie den mutmaßlichen Angreifer schwerer machen um es zu bekommen - vielleicht, wenn Sie Glück haben, stört es sie nicht. Aber sie können sich die Mühe machen. Wenn Sie den Port nicht dauerhaft geöffnet haben müssen, lassen Sie ihn nicht geöffnet. Es verringert die Chancen, dass ein böswilliger Angriff erfolgreich sein kann. (Die sicherste Software ist die Software, die nicht installiert ist; die nächst sicherste Software ist die Software, die nicht ausgeführt werden kann.)

Gute Antwort. Neben Sicherheitslücken ist auch die Sicherheitskonfiguration wichtig. Selbst wenn AFP keine Sicherheitslücken aufweist, können Sie einen Angriff offen lassen, wenn Sie es unsicher konfigurieren. Die wirklich beliebten Serveranwendungen (sshd, apache usw.) wurden so lange im Gefecht getestet, dass die meisten Leute davon ausgehen, dass es nur wenige bekannte Schwachstellen und eine Menge Dokumentation zum sicheren Konfigurieren gibt. Bei weniger bekannten Protokollen gibt es möglicherweise nicht denselben kollektiven Seelenfrieden. Mark E. Haase vor 13 Jahren 0
Erhalten Sie eine gute Firewall, die das für Sie erledigt. Das manuelle Bearbeiten Ihrer Ports ist problematisch. nicht die beste Option für fast alle Menschen, insbesondere wenn Sie sich nicht sicher sind, welche geöffnet oder geschlossen sein sollte. Usta vor 12 Jahren 0
0
BillThor

Sie können steuern, von welchem ​​Ende aus Sie eine Verbindung herstellen, und möglicherweise etwas schneller laufen. Ausgehende Verbindungen von Ihrem Mac zu einer Site, für die kein VPN erforderlich ist, sind möglicherweise schneller als eingehende Verbindungen über das VPN. Leider hat das VPN einen gewissen Aufwand, der die Übertragung verlangsamen kann. Wenn Sie komprimierte Dateien übertragen, kann es sinnvoll sein, die Komprimierung der VPN-Verbindung zu deaktivieren.