Was sind die besten/gängigsten Optionen zum Schutz eines offenen Ports? Zum Beispiel für Plex oder Torrent. Ein paar fallen mir ein:
- Ändern Sie die Portnummer von Standard auf eine zufällige, unbenutzte Nummer, um die Verschleierung zu erleichtern.
- Richten Sie eine Firewall ein, um den eingehenden Datenverkehr nur auf gültige Quellen (z. B. Plex) zu beschränken, obwohl dieser gefälscht werden kann
- Wird innerhalb eines VPN ausgeführt, aber ein VPN mit Internetanschluss kann ein anspruchsvolleres Ziel sein
- Führen Sie den Dienst in der VM aus, um etwaige Sicherheitsverletzungen einzudämmen
Übersehe ich etwas? Ich weiß, dass Plex bereits verschlüsselt ist, aber das schließt keine Sicherheitslücken in Plex aus.
Antwort1
Was sind die besten/gängigsten Optionen zum Schutz eines offenen Ports?
Am besten ist es, wenn nichts läuft, das auf dem Port lauscht. Die Angriffsfläche zu begrenzen, indem Sie nur das laufen lassen, was Sie brauchen, und nur Dinge auf den Schnittstellen und Ports lauschen lassen, die Sie brauchen, ist das Erste und Beste.
Zu den weiteren gängigen Optionen gehören
Sperren/Einschränken von Ports am Router
Konfigurieren einer Firewall auf dem System, auf dem der Dienst ausgeführt wird, und Blockieren/Einschränken von Ports auf dem System - manchmal ist diese Firewall Teil eines Antivirenpakets
Ausführen einer Überwachungssoftware in Ihrem Netzwerk, die A) den Datenverkehr zur späteren Analyse protokolliert, B) IP- und andere Sperrlisten eines Dienstes aktualisiert und aktiviert und/oder C) nach Mustern im eingehenden Datenverkehr sucht und Warnungen sendet, wenn etwas Ungewöhnliches gefunden wird.
Einfügen eines Geräts (dedizierte Firewall, Sicherheitsgerät) zwischen Router und Core-Switch, das eine der oben genannten Funktionen erfüllt
Software-Blacklisting auf Systemen (bestimmte ausführbare Dateien können nicht ausgeführt werden, sehr oft in Antivirus- oder andere Sicherheitspakete integriert)
Software-Whitelisting auf Systemen (nur bestimmte ausführbare Dateien können ausgeführt werden)
Beschränkung des Zugriffs durch physische Netzwerktopologie oder VLAN-Zuweisungen
VPN/verschlüsselte Tunneldienste, die am Rand des Netzwerks (auf oder zwischen Router und Core-Switch) ausgeführt werden und externen Zugriff nur nach Authentifizierung und Verschlüsselung zulassen.
Ändern Sie die Portnummer von Standard auf eine zufällige, unbenutzte Nummer, um die Verschleierung zu erleichtern.
Dies ist „Sicherheit durch Verschleierung“ und wird einen entschlossenen Angreifer, der alle Ports überprüft, nicht beeinträchtigen. Viele automatisierte Angriffe werden dadurch jedoch gestoppt und die Anzahl der von Ihnen protokollierten Vorfälle kann verringert werden.
Das eigentliche Problem dabei ist, dass Sie zwar auf Ihrer Seite ändern können, welchen Port ein Dienst verwendet, dies auf der Clientseite jedoch möglicherweise nicht steuern können und ein dazwischenliegendes Netzwerk möglicherweise Standardports blockiert. Wenn Sie bei sich zu Hause über eine Mobilfunkverbindung auf Plex zugreifen, stellen Sie möglicherweise fest, dass andere Ports als 443 vom Mobilfunknetz blockiert werden. Bei einigen WLAN-Hotspots für Gäste kann dies ebenfalls der Fall sein.
Führen Sie ein Insider-VPN aus, aber ein VPN mit Internetverbindung kann ein wichtigeres Ziel sein
Angenommen, Sie haben eine einzige IP, hinter der sich alles befindet, dann hätten Sie ohnehin nur einen Zugangspunkt in Ihr Netzwerk, den Sie schützen müssen. Ein VPN bietet zusätzlich Authentifizierung und Verschlüsselung, aber Sie sind nicht schlechter dran, wenn Sie es verwenden, es sei denn, Ihre VPN-Verschlüsselung oder -Authentifizierung ist schwach.
Führen Sie den Dienst in der VM aus, um etwaige Sicherheitsverletzungen einzudämmen
Dies kann hilfreich sein, aber es gibt CPU-Schwachstellen wie Spectre usw., die fortgeschrittene Angreifer auch in einer VM ausnutzen können. Dienste, die extrem sensibel sind, sollten optimalerweise auf ihrem eigenen physischen Gerät ausgeführt werden.