保護開放連接埠的最佳/常見選項是什麼?例如對於 Plex 或 torrent 我能想到的東西有一些:
- 將連接埠號碼從標準連接埠號碼變更為隨機未使用的連接埠號碼以幫助混淆
- 設定防火牆以將傳入流量限制為僅有效來源(即 plex),儘管 up 可能被欺騙
- 在 VPN 內部運行,但面向互聯網的 VPN 可能是更高級別的 Target
- 在虛擬機器中運行服務以嘗試遏制任何違規行為
我錯過了什麼嗎?我知道 Plex 已經加密,但不排除 Plex 中存在任何漏洞。
答案1
保護開放連接埠的最佳/常見選項是什麼?
最好的辦法是不要執行任何正在偵聽連接埠的程式。透過僅運行您需要的內容以及僅在您需要的介面和連接埠上偵聽來限制您的攻擊面,是首要也是最好的事情。
其他常見選項包括
阻止/限制路由器上的連接埠
在運作服務的系統上設定防火牆並阻止/限制系統上的連接埠 - 有時此防火牆是防毒軟體套件的一部分
在網路上運行監控軟體,A) 記錄流量以供日後分析,B) 更新並製定來自服務的IP 和其他阻止列表,和/或C) 查找傳入流量的模式,並在發現任何異常情況時發送警報,
在路由器和核心交換器之間插入執行上述任何操作的設備(專用防火牆、安全設備)
系統上的軟體黑名單(特定的可執行檔無法運行,通常與防毒或其他安全套件整合)
系統上的軟體白名單(只能執行特定的可執行檔)
透過實體網路拓撲或 VLAN 分配限制存取
VPN/加密隧道服務,運作在網路邊緣(路由器和核心交換器上或之間),僅在經過身份驗證和加密後才允許外部存取。
將連接埠號碼從標準連接埠號碼變更為隨機未使用的連接埠號碼以幫助混淆
這是“默默無聞的安全”,不會影響會檢查所有端口的堅定對手。不過,它會阻止許多自動攻擊,並可能減少您記錄的事件數量。
真正的問題是,雖然您可以更改服務在您端使用的端口,但您可能無法在客戶端控制它,並且中間的網路可能會阻止標準端口。如果您透過蜂窩連接訪問家中的 Plex,您可能會發現 443 以外的連接埠被蜂窩網路阻止。某些訪客 Wifi 熱點可能會執行相同操作。
運行內部 VPN,但面向互聯網的 VPN 可能更受矚目 Target
假設您有一個 IP,一切都在後面,那麼無論如何您都只有一個網路入口點需要保護。 VPN 新增了身份驗證和加密功能,但使用它並不會造成任何損失,除非您的 VPN 加密或身份驗證較弱。
在虛擬機器中運行服務以嘗試遏制任何違規行為
這可能會有所幫助,但存在像 Spectre 等 CPU 漏洞,即使在虛擬機器中,進階攻擊者也可以利用這些漏洞。極其敏感的服務最好在其自己的實體設備上運作。