Ok, então, aqui está o meu problema. Há algum tempo, um amigo queria pegar alguns arquivos meus, então dei a ele meu endereço AFP (Apple File Protocol). Muito parecido com FTP SSH ou SMB. É legal para usuários de Mac e pronto. Ele ficou realmente surpreso por eu estar encaminhando aquela porta e me avisou para fechar todas as portas, ssh, ftp, afp, smb, torrent... etc. Basicamente fechando todas as portas da minha casa. Ele disse que eu deveria ter apenas uma porta aberta e isso é para VPN atrás do meu firewall e então eu posso acessar todos os meus protocolos e muito mais. Eu entendo que isso é mais seguro. Mas é muito lento. Sou fotógrafo e talvez precise baixar arquivos de 20 a 30 GB. Sem a VPN isso demorava muito. Com VPN, leva ainda mais tempo.
Então, é realmente necessário fechar todas as portas? Tenho senhas muito longas e sofisticadas que são uma combinação de números de lábios, letras maiúsculas e minúsculas, todas misturadas e sem incluir uma única palavra do dicionário ou siglas.
Posso abrir minha porta AFP? Quais são as probabilidades/riscos de um ataque DDOS ou mesmo de força bruta?
Responder1
O problema com uma porta aberta e exposta à Internet é que existe um programa que escuta mensagens nessa porta. Se as mensagens que chegam estiverem malformadas (pelas regras do programa que está escutando), ele deverá rejeitar a solicitação e fechar a porta. No entanto, se o programa que está escutando tiver alguma vulnerabilidade, então o invasor poderá talvez criar mensagens que, em vez de serem rejeitadas, sejam aceitas como válidas, mas que não fazem o que você queria.
Por exemplo, sua porta AFP – quais mensagens podem ser enviadas para ela e o que elas podem fazer? É necessário um nome de usuário e senha para autenticação? Nesse caso, você poderá estar razoavelmente seguro se todos os nomes de usuário e senhas que podem ser usados forem seguros. Se não exigir nome de usuário e senha, ou tiver desvios simples para um usuário convidado, ou algo assim, você permitirá que estranhos entrem em seu sistema e (independentemente de quaisquer bugs nos programas AFP) poderá fazer qualquer coisa que o protocolo permitir. Você conhece todas as operações possíveis que podem ser solicitadas via AFP? Realmente todos eles ou apenas os documentados? Eles estão todos seguros? Você se importa que alguém possa ver seus... dados privados?
Claramente, se o AFP exigir autenticação e você tiver certeza de que a autenticação é segura, independentemente do que for feito, de modo que apenas alguém que conheça seus nomes de usuário e as senhas correspondentes possa invadir, então você tornou tudo mais difícil para o suposto invasor. para consegui-lo - talvez, se você tiver sorte, eles não se incomodarão. Mas eles podem incomodar. Se você não precisa da porta aberta permanentemente, não a deixe aberta; reduz as chances de sucesso de um ataque malicioso. (O software mais seguro é aquele que não está instalado; o próximo software mais seguro é aquele que não pode ser executado.)
Responder2
Se você puder controlar de qual extremidade você se conecta, poderá funcionar um pouco mais rápido. As conexões de saída do seu Mac para um site que não requer VPN podem ser mais rápidas do que as conexões de entrada pela VPN. Infelizmente, a VPN tem alguma sobrecarga que pode retardar as transferências. Se você estiver transferindo arquivos compactados, pode ser útil desativar a compactação na conexão VPN.