保护开放端口的最佳/常见选项是什么?例如对于 Plex 或 torrent,我能想到的一些选项:
- 将端口号从标准更改为随机未使用的端口号以帮助混淆
- 设置防火墙以将传入流量仅限制到有效源(即 plex),尽管可能被欺骗
- 在 VPN 内部运行,但面向互联网的 VPN 可能更受关注
- 在虚拟机中运行服务以尝试遏制任何违规行为
我是否遗漏了什么?我知道 Plex 已经加密,但这并不能排除 Plex 中的任何漏洞。
答案1
保护开放端口的最佳/常见选项是什么?
最好的办法是不要运行任何监听端口的程序。通过只运行您需要的程序以及只监听您需要的接口和端口来限制您的攻击面,这是首要的也是最好的办法。
其他常见选择包括
阻止/限制路由器上的端口
在运行该服务的系统上配置防火墙并阻止/限制系统端口 - 有时此防火墙是防病毒软件包的一部分
在您的网络上运行监控软件,A)记录流量以供日后分析,B)更新并实施来自服务的 IP 和其他阻止列表,和/或 C)查找传入流量中的模式,如果发现任何异常,则发送警报,
在路由器和核心交换机之间插入一个设备(专用防火墙、安全设备),用于上述任何一项功能
系统上的软件黑名单(无法运行特定的可执行文件,通常与防病毒软件或其他安全套件集成)
系统上的软件白名单(只能运行特定的可执行文件)
通过物理网络拓扑或 VLAN 分配限制访问
VPN/加密隧道服务,运行在网络边缘(在路由器和核心交换机上或之间),仅经过身份验证和加密后才允许外部访问。
将端口号从标准更改为随机未使用的端口号以帮助混淆
这是“隐蔽式安全”,不会影响会检查所有端口的坚定对手。不过,它可以阻止许多自动攻击,并可能降低您记录的事件数量。
真正的问题是,虽然您可以在您的终端更改服务使用的端口,但您可能无法在客户端控制该端口,并且中间的网络可能会阻止标准端口。如果您在家中通过蜂窝连接访问 Plex,您可能会发现蜂窝网络会阻止 443 以外的端口。一些访客 Wifi 热点可能会发生同样的情况。
运行内部 VPN,但面向互联网的 VPN 可能更具知名度
假设您有一个 IP,所有内容都位于其后面,那么您只需要保护一个进入网络的入口点。VPN 增加了身份验证和加密,但除非您的 VPN 加密或身份验证较弱,否则使用它不会给您带来任何不利影响。
在虚拟机中运行服务以尝试遏制任何违规行为
这可能很有用,但存在 Spectre 等 CPU 漏洞,高级攻击者即使在虚拟机中也可以利用这些漏洞。极其敏感的服务最好在自己的物理设备上运行。