我读到过,端口转发会使您的计算机面临安全漏洞。对一台计算机上的端口进行端口转发是否也会使网络中的其他计算机面临安全漏洞?
答案1
您可以将路由器视为您信任的机器和不信任的机器之间的边界。当您进行端口转发时,您允许不信任的机器访问您信任的机器。这会自动降低机器的信任度。这是有道理的,因为当您进行端口转发时,您是在说,每次连接到您信任的机器时,您不信任的机器影响其行为是可以接受的。
虽然您可能只允许访问您机器上的特定服务,因此影响应该局限于已知数量(例如提供网页),但不能保证您允许外部方访问的应用程序中没有可利用的漏洞。如果存在漏洞并被利用,最坏的情况是其他人控制了您的机器。如果他们控制了您的机器,那么他们可以将其用作跳点来探测您网络中的其他机器是否存在漏洞。
这就是为什么在企业环境中,人们会努力确保任何可从互联网直接访问的机器都通过防火墙与网络的其余部分隔离。这有助于限制攻击者进一步进入网络的能力。
所以这是您必须接受的风险,为了更好地定义风险,您需要检查应用程序暴露的历史记录 - 发现关键漏洞的频率以及解决这些漏洞的速度。
您可以采用的缓解策略是减少暴露。这可以通过仅在需要使用该服务时进行端口转发或在不需要时关闭应用程序来实现。
答案2
如果我们接受这样的假设:打开一台机器的端口会导致该机器受到攻击,那么答案是肯定的。一台机器上的每个端口都对同一网络上的所有其他机器开放。因此,如果向机器 Y 打开端口 X 有攻击机器 Y 的风险,那么任何攻击机器 Y 的人都可以访问机器 Z 上的端口 X。因此,他们也可以攻击机器 Z。
但这实际上只是表明,泛泛地谈论“暴露于安全漏洞”实在太模糊了,毫无用处。插入一台机器会使其暴露于安全漏洞。处理非量化的风险水平会导致愚蠢的结论。
答案3
不会,至少一般不会。但是如果你将某个端口转发到一台机器,这个特定应用程序受到攻击/利用的可能性就会更高。在此期间,它可能会运行蠕虫/木马等恶意代码,然后可以在你的内部网络中传播
答案4
不是。如果没有端口转发,路由器会丢弃传入的数据包,因为它无法确定目的地。通过转发端口,这些数据包将被定向到特定机器。这通常是无害的。您的防火墙无论如何都会丢弃不需要的数据包。即使没有,也不会有程序监听该特定端口,数据包也不会影响机器,当然,除了您最初设置端口转发的程序,但这是预期的行为。
您使用的程序可能存在安全漏洞。开放端口将允许攻击者利用这些漏洞。不开放端口将通过使计算机更难从互联网访问来增加一定程度的保护,但这本身可能适得其反。这相当于让计算机永远处于关闭状态的非常有效的安全措施。
您网络中的其他机器不会受到此类攻击;无论您将哪个端口转发给它们的邻居,它们仍然无法被外界访问。风险在于暴露的机器可能会受到损害。通常受 NAT 层保护的机器将因为其本地网络上的不受信任的主机而变得脆弱。
部分原因是,NAT 通常不被视为强大的安全层,在其中打洞不会危及您的网络。尽管如此,如果您的应用程序仅由受信任的机器使用,则设置 VPN 而不是端口转发可能是明智之举。更一般地说,要小心哪些主机被视为值得信赖。