さて、これが私の問題です。しばらく前に、友人が私からいくつかのファイルを取得したいと言ってきたので、私は彼に AFP (Apple File Protocol) アドレスを教えました。FTP、SSH、SMB とよく似ています。Mac ユーザーにとっては便利なものですが、それだけです。彼は私がそのポートを転送していることに非常に驚き、ssh、ftp、afp、smb、torrent など、すべてのポートを閉じるように警告しました。基本的に、私の家へのすべてのポートを閉じます。彼は、ファイアウォールの内側に VPN で接続するためのポートを 1 つだけ開いておくべきだと言いました。そうすれば、すべてのプロトコルなどにアクセスできます。この方が安全であることは理解しています。しかし、非常に遅いです。私は写真家で、20~30 GB のファイルをダウンロードしなければならないことがあります。VPN がないと、これには長い時間がかかりました。VPN を使用すると、さらに時間がかかります。
では、すべてのポートを閉じることが本当に必要なのでしょうか。私は、大文字と小文字、数字、数字の組み合わせ、辞書に載っている単語や頭字語を 1 つも含まない、非常に長く複雑なパスワードを設定しています。
AFP ポートを開くことはできますか? DDOS 攻撃やブルートフォース攻撃の可能性/リスクはどれくらいですか?
答え1
ポートが開いてインターネットに公開されている場合の問題は、そのポートでメッセージをリッスンするプログラムが存在することです。到着したメッセージが不正な形式である場合 (リッスンしているプログラムのルールによる)、リクエストを拒否してポートを閉じる必要があります。ただし、リッスンしているプログラムに脆弱性がある場合、攻撃者は拒否される代わりに有効として受け入れられるが、期待どおりには動作しないメッセージを作成する可能性があります。
たとえば、AFP ポートにはどのようなメッセージを送信でき、どのような操作を実行できますか? 認証にはユーザー名とパスワードが必要ですか? 必要な場合は、使用できるユーザー名とパスワードがすべて安全であれば、かなり安全です。ユーザー名とパスワードが不要、またはゲスト ユーザー用の簡単なバイパスなどがある場合は、部外者がシステムにアクセスでき、(AFP プログラムのバグとは関係なく) プロトコルで許可されているすべての操作を実行できます。AFP 経由で要求できるすべての操作を知っていますか? 本当にすべてですか、それとも文書化されている操作だけですか? すべて安全ですか? 誰かがあなたのプライベート データを見ることを気にしますか?
明らかに、AFP が認証を必要とし、何が投げ込まれても認証が安全であると確信している場合、つまりユーザー名と対応するパスワードを知っている人だけが侵入できる場合、想定される攻撃者が認証を取得するのが難しくなります。運が良ければ、攻撃者はわざわざ侵入しないかもしれません。しかし、侵入する可能性もあります。ポートを永続的に開く必要がない場合は、開いたままにしないでください。そうすることで、悪意のある攻撃が成功する可能性が低くなります。(最も安全なソフトウェアはインストールされていないソフトウェアです。次に安全なソフトウェアは実行できないソフトウェアです。)
答え2
どちらの側から接続するかを制御できれば、少し速く実行できる可能性があります。VPN を必要としないサイトへの Mac からの発信接続は、VPN 経由の着信接続よりも高速になる可能性があります。残念ながら、VPN にはオーバーヘッドがあり、転送速度が遅くなる可能性があります。圧縮ファイルを転送する場合は、VPN 接続の圧縮をオフにすると便利です。