Каковы лучшие/распространенные варианты защиты открытого порта? Например, для Plex или torrent. Несколько, которые я могу придумать:
- изменить номер порта со стандартного на случайный неиспользуемый, чтобы помочь запутать
- Настройте брандмауэр, чтобы ограничить входящий трафик только для допустимых источников (например, плекса), хотя up может быть подделан
- Работает внутри VPN, но VPN с выходом в Интернет может быть более популярным Target
- Запустите службу в виртуальной машине, чтобы попытаться сдержать любое нарушение
Я что-то упустил? Я знаю, что Plex уже зашифрован, но это не исключает уязвимости в Plex.
решение1
Каковы наилучшие/распространенные варианты защиты открытого порта?
Лучше всего не запускать ничего, что прослушивает порт. Ограничить поверхность атаки, запустив только то, что вам нужно, и запустив только те вещи, которые прослушивают нужные вам интерфейсы и порты, — это первое и лучшее.
Другие распространенные варианты включают в себя
блокировка/ограничение портов на маршрутизаторе
настройка брандмауэра в системе, на которой запущена служба, и блокировка/ограничение портов в системе — иногда этот брандмауэр является частью антивирусного пакета
запуск программного обеспечения для мониторинга в вашей сети, которое A) регистрирует трафик для последующего анализа, B) обновляет и вводит в действие списки блокировки IP-адресов и других адресов от службы и/или C) ищет закономерности во входящем трафике и отправляет оповещения, если обнаруживается что-то необычное,
вставка устройства (выделенного межсетевого экрана, устройства безопасности) между маршрутизатором и основным коммутатором, которое выполняет любую из вышеперечисленных функций
черный список программного обеспечения в системах (невозможно запустить определенные исполняемые файлы, очень часто интегрировано с антивирусом или другим пакетом безопасности)
белый список программного обеспечения в системах (могут быть запущены только определенные исполняемые файлы)
ограничение доступа через топологию физической сети или назначения VLAN
Службы VPN/зашифрованных туннелей, работающие на границе сети (на маршрутизаторе и основном коммутаторе или между ними), которые разрешают внешний доступ только при условии аутентификации и шифрования.
изменить номер порта со стандартного на случайный неиспользуемый, чтобы помочь запутать
Это «безопасность через неизвестность» и не повлияет на решительного противника, который проверит все порты. Однако это остановит многие автоматизированные атаки и может снизить количество регистрируемых вами инцидентов.
Реальная проблема в том, что, хотя вы можете изменить порт, который использует служба на вашем конце, вы не сможете контролировать это на клиентском конце, а промежуточная сеть может блокировать стандартные порты. Если вы получаете доступ к Plex дома через сотовое соединение, вы можете обнаружить, что порты, отличные от 443, блокируются сотовой сетью. Некоторые гостевые точки доступа Wi-Fi могут делать то же самое.
Запустите внутреннюю VPN, но VPN с выходом в Интернет может быть более популярной Цель
Если предположить, что у вас есть один IP, за которым все находится, то у вас в любом случае будет только одна точка входа в вашу сеть, которую нужно защищать. VPN добавляет аутентификацию и шифрование, но вы не станете хуже, если будете использовать его, если только ваше шифрование или аутентификация VPN не слабые.
Запустите службу в виртуальной машине, чтобы попытаться сдержать любое нарушение
Это может быть полезно, но существуют уязвимости ЦП, такие как Spectre и т. д., которые могут использовать продвинутые злоумышленники даже в виртуальной машине. Службы, которые являются чрезвычайно чувствительными, в оптимальном случае должны запускаться на собственном физическом устройстве.