好吧,這是我的問題。不久前,有個朋友想從我這裡取得一些文件,所以我給了他我的 AFP(Apple 文件協議)地址。很像 FTP、SSH 或 SMB。對於 Mac 用戶來說這很酷,僅此而已。他對我轉發該端口感到非常驚訝,並警告我關閉所有端口,ssh、ftp、afp、smb、torrent...等。他說我應該只打開一個端口,那就是透過 VPN 連接到我的防火牆後面,然後我就可以訪問我的所有協定等等。我知道這樣比較安全。但它確實很慢。我是攝影師,我可能需要下載 20-30 GB 的檔案。如果沒有 VPN,這需要很長時間。如果使用 VPN,甚至需要更長的時間。
那麼,真的有必要關閉所有連接埠嗎?我有非常長的複雜密碼,它們是嘴唇數字、數字大寫和小寫字母的組合,全部混合,不包含單字或縮寫。
我可以打開我的 AFP 連接埠嗎? DDOS 甚至暴力攻擊的可能性/風險有多大?
答案1
打開並暴露於互聯網的連接埠的問題是有一個程式正在偵聽該連接埠上的消息。如果到達的訊息格式錯誤(根據執行偵聽的程式的規則),那麼它應該拒絕請求並關閉連接埠。但是,如果執行偵聽的程式有任何漏洞,那麼攻擊者也許可以製作訊息,這些訊息不會被拒絕,而是被視為有效,但不會執行您想要的操作。
例如,您的 AFP 連接埠 - 可以向其發送哪些訊息,它們可以做什麼?是否需要使用者名稱和密碼進行身份驗證?如果是這樣,那麼如果所有可以使用的使用者名稱和密碼都是安全的,那麼您可能是相當安全的。如果它不需要使用者名稱和密碼,或者對來賓使用者有簡單的旁路,或類似的東西,那麼您就允許外部人員進入您的系統,並且(與AFP 程式中的任何錯誤無關)可以執行協議允許的任何操作。您知道可以透過法新社請求的所有可能的操作嗎?真的是全部,還是只是記錄在案的?他們都安全嗎?您介意有人可以看到您的…私人資料嗎?
顯然,如果 AFP 需要身份驗證,並且您確信身份驗證是安全的,無論發生什麼,那麼只有知道您的用戶名和相應密碼的人才能闖入,那麼您就為假定的攻擊者增加了難度得到它-也許,如果你幸運的話,他們不會打擾。但他們可能會打擾。如果您不需要永久打開該端口,請不要將其保持打開狀態;它減少了惡意攻擊成功的機會。 (最安全的軟體是未安裝的軟體;其次安全的軟體是無法運作的軟體。)
答案2
如果你可以控制從哪一端連接,你可能會跑得更快一點。從 Mac 到不需要 VPN 的網站的傳出連線可能比透過 VPN 的傳入連線更快。不幸的是,VPN 有一些開銷,可能會減慢傳輸速度。如果您要傳輸壓縮文件,則關閉 VPN 連線上的壓縮可能會很有用。