Quais são as melhores/comuns opções para proteger um porto aberto? Por exemplo, para Plex ou torrent. Alguns em que consigo pensar:
- altere o número da porta de padrão para aleatório não utilizado para ajudar a ofuscar
- Configure o firewall para restringir o tráfego de entrada apenas para fontes válidas (ou seja, plex), embora o up possa ser falsificado
- Execute dentro de uma VPN, mas a VPN voltada para a Internet pode ter um perfil mais alto Alvo
- Execute serviço em vm para tentar conter qualquer violação
Estou faltando alguma coisa? Eu sei que o Plex já está criptografado, mas isso não exclui qualquer vulnerabilidade no Plex.
Responder1
Quais são as melhores/comuns opções para proteger um porto aberto?
A melhor coisa é não ter nada rodando que esteja escutando na porta. Limitar sua superfície de ataque tendo apenas o que você precisa em execução e apenas ouvindo as interfaces e portas necessárias é a primeira e melhor coisa.
Outras opções comuns incluem
bloqueando/restringindo portas no roteador
configurar um firewall no sistema em que o serviço está sendo executado e bloquear/restringir portas no sistema - às vezes esse firewall faz parte de um pacote antivírus
executando software de monitoramento em sua rede que A) registra o tráfego para análise posterior, B) atualiza e ativa IP e outras listas de bloqueio de um serviço e/ou C) procura padrões no tráfego de entrada e envia alertas se algo incomum for encontrado,
inserir um dispositivo (firewall dedicado, dispositivo de segurança) entre o roteador e o switch principal que execute qualquer uma das ações acima
lista negra de software em sistemas (executáveis específicos não podem ser executados, muitas vezes integrados com antivírus ou outro pacote de segurança)
lista de permissões de software em sistemas (apenas executáveis específicos podem ser executados)
restringindo o acesso através de topologia de rede física ou atribuições de VLAN
Serviços de VPN/túnel criptografado, executados na borda da rede (no roteador ou entre o roteador e o switch principal), que só permitem acesso externo quando autenticados e criptografados.
altere o número da porta de padrão para aleatório não utilizado para ajudar a ofuscar
Isto é “segurança por obscuridade” e não afetará um adversário determinado que irá verificar todas as portas. Porém, isso impedirá muitos ataques automatizados e poderá diminuir o número de incidentes registrados.
O verdadeiro problema com isso é que, embora você possa alterar a porta que um serviço usa no seu lado, talvez você não consiga controlar isso no lado do cliente e uma rede intermediária pode bloquear portas padrão. Se você acessar o Plex em sua casa a partir de uma conexão de celular, poderá descobrir que outras portas além da 443 estão bloqueadas pela rede celular. Alguns pontos de acesso Wi-Fi para convidados podem fazer o mesmo.
Execute uma VPN interna, mas a VPN voltada para a Internet pode ter um perfil mais alto. Alvo
Supondo que você tenha um único IP onde tudo está por trás, você teria apenas um ponto de entrada em sua rede para proteger de qualquer maneira. Uma VPN adiciona autenticação e criptografia, mas você não ficará pior ao usá-la, a menos que sua criptografia ou autenticação VPN seja fraca.
Execute serviço em vm para tentar conter qualquer violação
Isso pode ser útil, mas existem vulnerabilidades de CPU como Spectre, etc. que invasores avançados podem usar mesmo quando estão em uma VM. Os serviços extremamente sensíveis devem ser executados em seu próprio dispositivo físico.