nic*_*ick 3 security vpn brute-force afp denial-of-service
好的,所以,这是我的问题。前阵子,一个朋友想从我这里拿一些文件,所以我给了他我的 AFP(Apple 文件协议)地址。很像 FTP SSH 或 SMB。它对 mac 用户来说很酷,仅此而已。他真的很惊讶我正在转发那个端口,并警告我关闭所有端口,ssh、ftp、afp、smb、torrent……等等。基本上关闭了我家的所有端口。他说我应该只打开一个端口,然后将 VPN 连接到我的防火墙后面,然后我就可以访问我的所有协议等等。我知道这样更安全。但它真的很慢。我是一名摄影师,我可能需要下载 20-30 GB 的文件。如果没有 VPN,这需要很长时间。使用 VPN,它甚至需要更长的时间。
那么,是否真的有必要关闭所有端口。我有很长的复杂密码,这些密码是嘴唇数字数字大写字母和小写字母的组合,全部混合在一起,不包括单个字典单词或首字母缩略词。
我可以打开我的 AFP 端口吗?DDOS 甚至暴力攻击的几率/风险是多少?
端口开放并暴露给 Internet 的问题在于有一个程序在该端口上侦听消息。如果到达的消息格式不正确(根据进行侦听的程序的规则),那么它应该拒绝请求并关闭端口。但是,如果进行侦听的程序有任何漏洞,那么攻击者可能会制作消息,而不是被拒绝,而是被接受为有效但不执行您想要的操作。
例如,您的 AFP 端口 - 可以向其发送哪些消息,它们可以做什么?是否需要用户名和密码进行身份验证?如果是这样,那么如果所有可以使用的用户名和密码都是安全的,那么您可能是相当安全的。如果它不需要用户名和密码,或者对访客用户有简单的绕过,或者类似的东西,那么你允许外人进入你的系统并且(独立于 AFP 程序中的任何错误)可以做协议允许的任何事情。您知道可以通过 AFP 请求的所有可能的操作吗?真的所有这些,还是只是记录在案的那些?他们都安全吗?您介意有人可以看到您的……私人数据吗?
显然,如果 AFP 需要身份验证,并且您确定身份验证是安全的,而不管它有什么问题,那么只有知道您的用户名和相应密码的人才能闯入,那么您就使假定的攻击者更难了得到它 - 也许,如果你很幸运,他们不会打扰。但他们可能会打扰。如果您不需要永久打开端口,请不要让它保持打开状态;它降低了恶意攻击成功的机会。(最安全的软件是未安装的软件;其次最安全的软件是无法运行的软件。)