¿Cuáles son las mejores/opciones más comunes para proteger un puerto abierto? Por ejemplo, para Plex o torrent. Se me ocurren algunos:
- cambie el número de puerto de estándar a uno aleatorio no utilizado para ayudar a ofuscar
- Configure el firewall para restringir el tráfico entrante solo a fuentes válidas (es decir, plex), aunque se puede falsificar
- Se ejecuta dentro de una VPN, pero la VPN orientada a Internet puede tener un perfil más alto.
- Ejecute el servicio en vm para intentar contener cualquier infracción
¿Me estoy perdiendo algo? Sé que Plex ya está cifrado, pero eso no excluye ninguna vulnerabilidad en Plex.
Respuesta1
¿Cuáles son las mejores/opciones más comunes para proteger un puerto abierto?
Lo mejor es no tener nada en ejecución que esté escuchando en el puerto. Limitar su superficie de ataque teniendo solo lo que necesita en ejecución y solo escuchando en las interfaces y puertos que necesita es lo primero y lo mejor.
Otras opciones comunes incluyen
bloquear/restringir puertos en el enrutador
configurar un firewall en el sistema en el que se ejecuta el servicio y bloquear/restringir puertos en el sistema; a veces este firewall es parte de un paquete antivirus
ejecutar software de monitoreo en su red que A) registra el tráfico para su posterior análisis, B) actualiza y activa IP y otras listas de bloqueo de un servicio, y/o C) busca patrones en el tráfico entrante y envía alertas si se encuentra algo inusual,
insertar un dispositivo (firewall dedicado, dispositivo de seguridad) entre el enrutador y el conmutador central que realice cualquiera de las acciones anteriores
Lista negra de software en los sistemas (no se pueden ejecutar ejecutables específicos, muy a menudo integrados con antivirus u otro paquete de seguridad).
Lista blanca de software en sistemas (solo se pueden ejecutar ejecutables específicos)
restringir el acceso a través de topología de red física o asignaciones de VLAN
Servicios de túnel VPN/cifrado, que se ejecutan en el borde de la red (en o entre el enrutador y el conmutador central), que solo permiten el acceso externo cuando están autenticados y cifrados.
cambie el número de puerto de estándar a uno aleatorio no utilizado para ayudar a ofuscar
Esto es "seguridad por oscuridad" y no afectará a un adversario decidido que comprobará todos los puertos. Sin embargo, detendrá muchos ataques automatizados y podría reducir la cantidad de incidentes que registre.
El verdadero problema con esto es que, si bien puede cambiar el puerto que utiliza un servicio en su extremo, es posible que no pueda controlarlo en el extremo del cliente y una red intermedia puede bloquear los puertos estándar. Si accede a Plex en su casa desde una conexión celular, es posible que la red celular bloquee otros puertos además del 443. Algunos puntos de acceso Wifi para invitados pueden hacer lo mismo.
Ejecute una VPN interna, pero la VPN orientada a Internet puede tener un perfil más alto.
Suponiendo que tiene una única IP detrás de la cual todo está detrás, de todos modos solo tendrá un punto de entrada a su red para proteger. Una VPN agrega autenticación y cifrado, pero no estará en peor situación al usarla a menos que su cifrado o autenticación de VPN sea débil.
Ejecute el servicio en vm para intentar contener cualquier infracción
Esto puede ser útil, pero existen vulnerabilidades de CPU como Spectre, etc. que los atacantes avanzados pueden usar incluso cuando se encuentran en una máquina virtual. Los servicios que son extremadamente sensibles deberían ejecutarse de manera óptima en su propio dispositivo físico.