好的,这是我的问题。前段时间,一个朋友想从我这里拿一些文件,所以我给了他我的 AFP(Apple File Protocol)地址。很像 FTP SSH 或 SMB。对于 Mac 用户来说这很酷,就是这样。他真的很惊讶我转发那个端口,并警告我关闭所有端口,ssh、ftp、afp、smb、torrent……等等。基本上关闭了我家的所有端口。他说我应该只打开一个端口,那就是通过 VPN 进入防火墙后面,然后我就可以访问我的所有协议等等。我知道这样更安全。但是它真的很慢。我是一名摄影师,我可能需要下载 20-30 GB 的文件。如果没有 VPN,这会花费很长时间。有了 VPN,甚至需要更长的时间。
那么,真的有必要关闭所有端口吗?我有非常长的复杂密码,这些密码是口令、数字、大写字母和小写字母的组合,而且不包含任何字典单词或首字母缩略词。
我可以打开我的 AFP 端口吗?DDOS 甚至暴力攻击的几率/风险是多少?
答案1
端口开放并暴露在互联网上的问题在于,有一个程序正在监听该端口上的消息。如果收到的消息格式错误(根据监听程序的规则),则它应该拒绝请求并关闭端口。但是,如果监听程序存在任何漏洞,那么攻击者也许可以伪造消息,这些消息不会被拒绝,而是被接受为有效消息,但不会执行您想要的操作。
例如,您的 AFP 端口 - 可以向其发送哪些消息,它们可以做什么?它是否需要用户名和密码进行身份验证?如果是这样,那么如果所有可以使用的用户名和密码都是安全的,那么您可能相当安全。如果它不需要用户名和密码,或者对来宾用户有简单的绕过,或诸如此类,那么您允许外部人员进入您的系统并且(独立于 AFP 程序中的任何错误)可以执行协议允许的任何事情。您是否知道可以通过 AFP 请求的所有可能的操作?真的是全部,还是只是记录下来的那些?它们都安全吗?您介意有人看到您的……私人数据吗?
显然,如果 AFP 需要身份验证,并且您确信无论输入什么,身份验证都是安全的,因此只有知道您的用户名和相应密码的人才能闯入,那么您就让假定的攻击者更难获得它 - 也许,如果您幸运的话,他们不会费心。但他们可能会费心。如果您不需要永久打开端口,请不要将其打开;这会降低恶意攻击成功的机会。(最安全的软件是未安装的软件;第二安全的软件是无法运行的软件。)
答案2
如果您可以控制从哪一端连接,您可能会运行得更快一些。从您的 Mac 到不需要 VPN 的站点的传出连接可能比通过 VPN 的传入连接更快。不幸的是,VPN 有一些开销,可能会减慢传输速度。如果您正在传输压缩文件,那么关闭 VPN 连接上的压缩可能会很有用。