Итак, вот моя проблема. Некоторое время назад мой друг хотел забрать у меня некоторые файлы, поэтому я дал ему свой адрес AFP (Apple File Protocol). Очень похоже на FTP SSH или SMB. Это круто для пользователей Mac, и это все. Он был очень удивлен, что я перенаправляю этот порт, и предупредил меня закрыть все порты, ssh, ftp, afp, smb, torrent... и т. д. По сути, закрыть все порты в моем доме. Он сказал, что мне нужно открыть только один порт, и это для VPN за моим брандмауэром, и тогда я смогу получить доступ ко всем своим протоколам и многому другому. Я понимаю, что это более безопасно. Но это очень медленно. Я фотограф, и мне, возможно, придется загружать файлы размером 20-30 ГБ. Без VPN это заняло бы много времени. С VPN это заняло бы еще больше времени.
Итак, действительно ли необходимо закрывать все порты. У меня очень длинные сложные пароли, которые представляют собой комбинацию букв, цифр, заглавных букв и строчных букв, все вперемешку и не включают ни одного слова из словаря или аббревиатуры.
Могу ли я открыть свой порт AFP? Каковы шансы/риски DDOS или даже bruteforce атаки?
решение1
Проблема с открытым портом, открытым для интернета, заключается в том, что есть программа, прослушивающая сообщения на этом порту. Если приходящие сообщения имеют неправильный формат (по правилам программы, выполняющей прослушивание), то она должна отклонить запрос и закрыть порт. Однако, если программа, выполняющая прослушивание, имеет какие-либо уязвимости, то злоумышленник, возможно, может создавать сообщения, которые вместо того, чтобы быть отклоненными, принимаются как допустимые, но которые не делают того, что вы хотели.
Например, ваш порт AFP — какие сообщения можно отправлять на него и что они могут делать? Требуются ли имя пользователя и пароль для аутентификации? Если да, то вы можете быть в разумной безопасности, если все имена пользователей и пароли, которые можно использовать, безопасны. Если он не требует имени пользователя и пароля или имеет простые обходные пути для гостевого пользователя или что-то в этом роде, то вы допускаете посторонних в свою систему и (независимо от каких-либо ошибок в программах AFP) можете делать все, что позволяет протокол. Знаете ли вы все возможные операции, которые можно запросить через AFP? Действительно все или только задокументированные? Все ли они безопасны? Вас не смущает, что кто-то может видеть ваши ... личные данные?
Очевидно, если AFP требует аутентификации, и вы уверены, что аутентификация безопасна, независимо от того, что на нее накидают, так что взломать ее может только тот, кто знает ваши имена пользователей и соответствующие пароли, то вы усложнили задачу предполагаемому злоумышленнику — может быть, если вам повезет, он не будет беспокоиться. Но он может беспокоиться. Если вам не нужно, чтобы порт был открыт постоянно, не оставляйте его открытым; это снижает вероятность того, что вредоносная атака будет успешной. (Самое безопасное программное обеспечение — это программное обеспечение, которое не установлено; следующее по безопасности программное обеспечение — это программное обеспечение, которое не может быть запущено.)
решение2
Если вы можете контролировать, с какого конца вы подключаетесь, вы можете работать немного быстрее. Исходящие соединения с вашего Mac на сайт, не требующий VPN, могут быть быстрее входящих соединений через VPN. К сожалению, VPN имеет некоторые накладные расходы, которые могут замедлить передачу. Если вы передаете сжатые файлы, то может быть полезно отключить сжатие в VPN-подключении.