좋아요, 여기 내 문제가 있습니다. 얼마 전 한 친구가 나에게서 파일 몇 개를 가져오려고 해서 그에게 내 AFP(Apple File Protocol) 주소를 알려 주었습니다. FTP SSH 또는 SMB와 매우 유사합니다. Mac 사용자에게는 멋지고 그게 전부입니다. 그는 내가 그 포트를 전달하고 있다는 사실에 정말 놀랐고 모든 포트(ssh, ftp, afp, smb, torrent... 등)를 닫으라고 경고했습니다. 기본적으로 우리 집의 모든 포트를 닫습니다. 그는 포트를 하나만 열어야 하며 방화벽 뒤의 VPN에 연결해야 모든 프로토콜 등에 액세스할 수 있다고 말했습니다. 나는 이것이 더 안전하다는 것을 이해합니다. 하지만 정말 느립니다. 저는 사진작가이므로 20~30GB의 파일을 다운로드해야 할 수도 있습니다. VPN이 없으면 시간이 오래 걸렸습니다. VPN을 사용하면 시간이 더 오래 걸립니다.
그렇다면 모든 포트를 닫아야 하는 것이 정말 필요한 것일까요? 나는 입술 숫자, 숫자 대문자와 소문자를 모두 혼합하고 사전 단어나 두문자어를 포함하지 않는 매우 길고 정교한 비밀번호를 가지고 있습니다.
AFP 포트를 열 수 있나요? DDOS 또는 무차별 공격의 확률/위험은 무엇입니까?
답변1
포트가 열려 인터넷에 노출되는 문제는 해당 포트에서 메시지를 수신하는 프로그램이 있다는 것입니다. 도착하는 메시지의 형식이 잘못된 경우(수신을 수행하는 프로그램의 규칙에 따라) 요청을 거부하고 포트를 닫아야 합니다. 그러나 청취를 수행하는 프로그램에 취약점이 있는 경우 공격자는 거부되는 대신 유효한 것으로 승인되지만 원하는 작업을 수행하지 않는 메시지를 만들 수 있습니다.
예를 들어, AFP 포트로 어떤 메시지를 보낼 수 있으며 어떤 작업을 수행할 수 있습니까? 인증하려면 사용자 이름과 비밀번호가 필요합니까? 그렇다면, 사용할 수 있는 모든 사용자 이름과 비밀번호가 안전하다면 합리적으로 안전할 수 있습니다. 사용자 이름과 비밀번호가 필요하지 않거나 게스트 사용자를 위한 간단한 우회 기능이 있는 경우 외부인을 시스템에 허용하고 (AFP 프로그램의 버그와 관계없이) 프로토콜이 허용하는 모든 작업을 수행할 수 있습니다. AFP를 통해 요청할 수 있는 모든 작업을 알고 계십니까? 실제로 모두입니까, 아니면 문서화된 것입니까? 다들 안전한가요? 누군가가 귀하의 개인 데이터를 볼 수 있다는 사실을 염두에 두십니까?
분명히 AFP가 인증을 요구하고 인증이 무엇에 관계없이 안전하다고 확신하여 사용자 이름과 해당 비밀번호를 아는 사람만 침입할 수 있다면 추정 공격자가 더 어려워진 것입니다. 그것을 얻으려면 – 아마도 운이 좋다면 그들은 귀찮게하지 않을 것입니다. 그러나 그들은 귀찮게 할 수도 있습니다. 포트를 영구적으로 열어 둘 필요가 없다면 열어 두지 마십시오. 악의적인 공격이 성공할 가능성이 줄어듭니다. (가장 안전한 소프트웨어는 설치되지 않은 소프트웨어이고, 그 다음으로 안전한 소프트웨어는 실행할 수 없는 소프트웨어입니다.)
답변2
어느 쪽에서 연결하는지 제어할 수 있으므로 조금 더 빠르게 실행할 수 있습니다. Mac에서 VPN이 필요하지 않은 사이트로 나가는 연결은 VPN을 통해 들어오는 연결보다 빠를 수 있습니다. 불행하게도 VPN에는 전송 속도를 느리게 할 수 있는 약간의 오버헤드가 있습니다. 압축된 파일을 전송하는 경우 VPN 연결에서 압축을 끄는 것이 유용할 수 있습니다.