我知道将路由器上的端口转发到网络上的计算机以运行 Teamspeak 或 Minecraft 等应用程序存在安全风险。但是,我还没有看到任何关于可能产生什么后果的明确解释。
黑客可以利用路由器上指向单台 PC 的开放端口做什么?网络上有大量其他系统和设备,几乎没有额外的安全措施。
此外,是否有办法安全地设置转发以最大限度地降低风险?
答案1
打开 NAT 或防火墙后面的主机的 TCP 端口允许从 Internet 向该主机发出未经请求的连接尝试。然后,这些连接尝试必须由该主机的操作系统处理,操作系统要么将连接传递给绑定到该端口的应用程序,要么拒绝连接尝试(如果没有)。
如果特定应用程序或操作系统版本存在安全漏洞,允许远程实体通过该开放端口控制该系统,则可以在该系统上安装任意软件,以在网络上执行恶意活动,同时对私有系统给予所有隐含的信任,包括发送电子邮件、访问数据库和文件服务器、查看和发布内部网页(例如路由器配置网页),以及记录本地网络流量和查看未加密的网络数据。
尽管这篇文章无法试图涵盖防火墙/NAT漏洞可能带来的所有潜在安全风险,但每个可从公共互联网访问的单独系统都会以指数级增长,网络被入侵的可能性也会随之增加。
与其他类比相比,网络的安全性可能更是如此,它最薄弱的环节决定了网络的安全性。运行消费软件的通用计算系统是一个非常薄弱的环节,甚至与最低级的 NAT 路由器相比也是如此。
答案2
攻击者可能会利用这个开放端口访问您的单台计算机。(各种方式都取决于攻击方法)。如果他们获得对单台计算机的访问权限,他们就可以对网络的其余部分进行更广泛的攻击。这是因为防火墙后面的设备之间的信息通常不受消费者路由器的检查。这就是为什么在网络内的所有设备上安装防火墙和防病毒软件非常重要。
攻击者在您的网络上可以执行的操作简短列表:
将网络流量重新路由到他们控制的服务器,
控制您的计算机,就像他们坐在那里一样,
窃取信息(例如银行信息)
我正在学习如何在家中运行服务器,并且只转发了 3 个端口。虽然这才刚启用一小段时间,但我的带宽受到了影响,因为我的日志中充满了尝试访问的不同 IP。
为了帮助降低这种风险,您可以编辑端口转发规则,以仅接受与您建立连接的人的 IP 的连接。理论上,如果您要进行连接,则无需创建端口转发规则,只有当有人连接到您托管的服务时才需要创建。消费者路由器通常不会阻止传出连接。
有许多指南可帮助您保护网络。我会通过 Google"Securely run a server from home"来获取一些想法。