Я читал, что переадресация портов подвергает ваш компьютер нарушениям безопасности. Перенаправляет ли порт на одном компьютере и другие компьютеры в сети?
4 ответа
Вы можете считать свой маршрутизатор периметром между теми машинами, которым вы доверяете, и теми, кому вы не доверяете. Когда вы пересылаете порт, вы разрешаете доступ с компьютеров, которым вы не доверяете, тому, который вы делаете. Это автоматически снижает доверие к вашей машине. Это оправдано, потому что при переадресации порта вы говорите, что для машины, которой вы не доверяете, допустимо влиять на поведение той, которой вы доверяете, каждый раз, когда к ней устанавливается соединение.
Хотя вы можете разрешить доступ только к определенной службе на своем компьютере, и поэтому влияние должно быть ограничено известным количеством (например, обслуживанием веб-страницы), нет никаких гарантий, что в приложении, которое вы разрешаете использовать, нет уязвимостей, которые можно использовать. доступ внешних сторон. Если уязвимость существует и используется, в худшем случае кто-то другой может контролировать вашу машину. Если они контролируют вашу машину, они могут использовать ее в качестве отправной точки для проверки других машин в вашей сети на наличие уязвимостей.
Вот почему в корпоративных средах предпринимаются усилия для обеспечения того, чтобы любой компьютер, к которому будет прямой доступ из Интернета, был отделен от остальной части сети через брандмауэры. Это может помочь ограничить способность злоумышленника проникнуть в сеть.
Таким образом, это риск, который вы должны принять, и чтобы лучше определить риск, вам необходимо изучить историю уязвимости приложения - как часто обнаруживаются критические уязвимости и как быстро они устраняются.
Стратегии смягчения, которые вы можете использовать, направлены на снижение вашей подверженности. Это можно сделать, только перенаправив порт, если вы хотите использовать службу, или закрыв приложение, когда в этом нет необходимости.
Если мы примем предположение, что открытие порта для машины позволяет скомпрометировать эту машину, тогда да. Каждый порт на машине открыт для любой другой машины в той же сети. Таким образом, если открытие порта X для машины Y может привести к компрометации машины Y, любой, кто взломал машину Y, получит доступ к порту X на машине Z. Таким образом, он также может поставить под угрозу машину Z.
Но это на самом деле просто показывает, что разговоры в общих чертах, такие как "подверженность нарушениям безопасности", на самом деле слишком расплывчаты, чтобы быть полезными. Подключение машины может привести к нарушениям безопасности. Работа с неквалифицированными уровнями риска приводит к глупым выводам.
Нет, это не так - по крайней мере, вообще. Но если вы перенаправите какой-либо порт на одну машину, есть большая вероятность того, что это конкретное приложение будет атаковано / использовано. При этом он может запускать вредоносный код, такой как червь / троян, который затем может распространиться во внутренней сети.
На самом деле, нет. Без переадресации портов входящие пакеты отбрасываются маршрутизатором, поскольку он не может определить пункт назначения. При переадресации портов эти пакеты направляются на конкретную машину. Это вообще безвредно. Ваш брандмауэр все равно отбросит нежелательные пакеты. Даже если это не так, никакие программы не будут прослушивать этот конкретный порт, и пакет не повлияет на машину, конечно, за исключением программы, для которой вы сначала настроили переадресацию порта, но это предполагаемое поведение ,
Программа, которую вы используете, может иметь недостатки в безопасности. Открытый порт позволит атакующему использовать эти недостатки. Не открытие порта добавит уровень защиты, сделав машину менее доступной из Интернета, но это, вероятно, контрпродуктивно. Это эквивалент очень эффективной меры безопасности, позволяющей постоянно выключать компьютер.
Другие машины в вашей сети не будут подвергаться таким атакам; они по-прежнему недоступны для внешнего мира, независимо от портов, которые вы можете перенаправить своим соседям. Риск заключается в том, что открытая машина может быть скомпрометирована. Машины, которые обычно защищены уровнем NAT, будут уязвимы из-за ненадежного хоста в их локальной сети.
Частично именно по этой причине NAT в общем случае вообще не рассматривается как сильный уровень безопасности, и пробивание дыр в нем не должно подвергать вашу сеть риску. Тем не менее, может быть целесообразно настроить VPN вместо перенаправления порта, если ваше приложение используется только доверенными компьютерами. В целом, будьте осторожны с тем, какие хосты считаются заслуживающими доверия.