Я знаю, что существует угроза безопасности с переадресацией портов на моем маршрутизаторе на компьютер в моей сети для таких приложений, как teampeak или minecraft. Тем не менее, я не видел четких объяснений того, какими могут быть последствия.

Что может сделать хакер с открытым портом на моем роутере, указывающим на один компьютер? В сети загружены другие системы и устройства, и уровень дополнительной безопасности практически отсутствует.

А также, есть ли способ безопасно настроить форвард, чтобы минимизировать риски?

2 ответа2

1

Возможно, что злоумышленник может использовать этот открытый порт, чтобы получить доступ к вашему компьютеру. (Различные способы все в зависимости от метода атаки). Если они получат доступ к одному компьютеру, они могут атаковать остальную часть сети с помощью более широкой атаки. Это связано с тем, что пользовательские маршрутизаторы обычно не проверяют информацию между устройствами за брандмауэром. Вот почему очень важно иметь брандмауэр и антивирус на ВСЕХ устройствах в сети.

Краткий список возможных действий, которые злоумышленник может сделать в вашей сети:
Перенаправить сетевой трафик на сервер, которым они управляют
Управляйте своим компьютером, как будто они сидят за ним
Информация о краже (например, банковская информация)

Я учусь запускать сервер дома, и у меня есть только 3 переадресованных порта. Хотя это происходило только в течение короткого времени, это влияет на мою пропускную способность, потому что у меня есть журналы, заполненные разными IP-адресами, пытающимися получить доступ.

Чтобы уменьшить этот риск, вы можете отредактировать правила переадресации порта, чтобы принимать соединения только с IP-адреса людей, подключенных к вам. Теоретически вам не нужно создавать правила перенаправления портов, если вы подключаетесь, только если у вас есть люди, подключающиеся к службе, которую вы размещаете. Потребительские маршрутизаторы обычно не блокируют исходящие соединения.

Существует множество руководств, которые помогут защитить вашу сеть. Я хотел бы Google "Securely run a server from home" чтобы получить некоторые идеи.

1

Открытие порта TCP для узла за NAT или брандмауэром позволяет предпринимать попытки незапрошенного подключения к этому узлу из Интернета. Эти попытки подключения затем должны обрабатываться операционной системой этого хоста, которая либо передает соединение приложению, связанному с этим портом, либо, если его нет, отклоняет попытку соединения.

Если это конкретное приложение или версия операционной системы имеет дыру в безопасности, которая позволяет удаленному объекту управлять этой системой через этот открытый порт, в этой системе может быть установлено произвольное программное обеспечение для выполнения злонамеренных действий в сети со всеми неявными доверие, предоставляемое частной системе, включая отправку электронной почты, доступ к базам данных и файловым серверам, просмотр и публикацию на внутренних веб-страницах (таких как веб-страница конфигурации маршрутизатора), а также запись трафика локальной сети и просмотр незашифрованных сетевых данных.

Несмотря на то, что в этом посте не может быть предпринята попытка охватить исчерпывающую широту и глубину потенциальных угроз безопасности, которые могут иметь пробивки в брандмауэре /NAT, каждая отдельная система, к которой можно получить доступ из общедоступного Интернета, увеличивается в значительной степени, шансы сеть скомпрометирована.

Здесь, возможно, в большей степени, чем другие аналогии, безопасность сети настолько сильна, насколько слабее ее звено. Вычислительная система общего назначения, на которой работает потребительское программное обеспечение, является очень слабым звеном, даже по сравнению с самым низким маршрутизатором NAT.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .