Ok, also, hier ist mein Problem. Vor einiger Zeit wollte ein Freund ein paar Dateien von mir haben, also gab ich ihm meine AFP-Adresse (Apple File Protocol). Ähnlich wie FTP, SSH oder SMB. Es ist cool für Mac-Benutzer und das war’s. Er war wirklich überrascht, dass ich diesen Port weiterleitete und warnte mich, alle Ports zu schließen, SSH, FTP, AFP, SMB, Torrent usw. Im Grunde alle Ports zu meinem Haus zu schließen. Er sagte, ich solle nur einen Port offen haben und zwar über VPN hinter meiner Firewall, und dann könnte ich auf alle meine Protokolle und mehr zugreifen. Mir ist klar, dass das sicherer ist. Aber es ist wirklich langsam. Ich bin Fotograf und muss unter Umständen 20–30 GB große Dateien herunterladen. Ohne VPN dauerte das sehr lange. Mit VPN dauert es sogar noch länger.
Ist es also wirklich notwendig, alle Ports zu schließen? Ich habe sehr lange, komplizierte Passwörter, die aus einer Kombination aus Groß- und Kleinbuchstaben bestehen, alles gemischt und kein einziges Wort aus dem Wörterbuch oder Akronyme enthalten.
Kann ich meinen AFP-Port öffnen? Wie hoch sind die Wahrscheinlichkeit/Risiken eines DDOS- oder sogar Brute-Force-Angriffs?
Antwort1
Das Problem bei einem offenen und dem Internet ausgesetzten Port besteht darin, dass ein Programm auf diesem Port auf Nachrichten wartet. Wenn die ankommenden Nachrichten fehlerhaft sind (nach den Regeln des Programms, das den Port überwacht), sollte es die Anforderung ablehnen und den Port schließen. Wenn das Programm, das den Port überwacht, jedoch Schwachstellen aufweist, kann der Angreifer möglicherweise Nachrichten erstellen, die zwar nicht abgelehnt, sondern als gültig akzeptiert werden, aber nicht das gewünschte Ergebnis erzielen.
Beispielsweise Ihr AFP-Port – welche Nachrichten können an ihn gesendet werden und was können sie tun? Ist zur Authentifizierung ein Benutzername und ein Passwort erforderlich? Wenn ja, dann sind Sie möglicherweise einigermaßen sicher, wenn alle Benutzernamen und Passwörter, die verwendet werden könnten, sicher sind. Wenn kein Benutzername und kein Passwort erforderlich sind oder einfache Umgehungen für einen Gastbenutzer oder etwas Ähnliches vorhanden sind, dann lassen Sie Außenstehende auf Ihr System zugreifen und können (unabhängig von etwaigen Fehlern in den AFP-Programmen) alles tun, was das Protokoll erlaubt. Kennen Sie alle möglichen Operationen, die über AFP angefordert werden können? Wirklich alle oder nur die dokumentierten? Sind sie alle sicher? Stört es Sie, dass jemand Ihre ... privaten Daten sehen kann?
Wenn der AFP eine Authentifizierung erfordert und Sie sicher sind, dass die Authentifizierung unabhängig von dem, was darauf eingeworfen wird, sicher ist, sodass nur jemand, der Ihre Benutzernamen und die entsprechenden Passwörter kennt, eindringen kann, haben Sie es dem mutmaßlichen Angreifer schwerer gemacht, darauf zuzugreifen – vielleicht, wenn Sie Glück haben, wird er sich die Mühe nicht machen. Aber vielleicht macht er sich die Mühe. Wenn Sie den Port nicht dauerhaft geöffnet haben müssen, lassen Sie ihn nicht offen; das verringert die Wahrscheinlichkeit, dass ein böswilliger Angriff erfolgreich ist. (Die sicherste Software ist die Software, die nicht installiert ist; die nächstsicherste Software ist die Software, die nicht ausgeführt werden kann.)
Antwort2
Wenn Sie steuern können, von welchem Ende aus Sie eine Verbindung herstellen, kann dies möglicherweise etwas schneller sein. Ausgehende Verbindungen von Ihrem Mac zu einer Site, die kein VPN erfordert, können schneller sein als eingehende Verbindungen über das VPN. Leider hat das VPN einen gewissen Overhead, der die Übertragung verlangsamen kann. Wenn Sie komprimierte Dateien übertragen, kann es sinnvoll sein, die Komprimierung der VPN-Verbindung auszuschalten.