開いているポートを持つことのセキュリティと欠陥?
さて、これが私の問題です。しばらく前に、友人が私からいくつかのファイルを取得したかったので、私は彼に私のAFP(Apple File Protocol)アドレスを与えました。 FTPSSHまたはSMBによく似ています。 Macユーザーにとってはかっこいいです。彼は私がそのポートを転送していることに本当に驚いて、すべてのポート、ssh、ftp、afp、smb、torrentなどを閉じるように警告しました。基本的に私の家のすべてのポートを閉じます。彼は、1つのポートだけを開いて、ファイアウォールの背後にVPNで接続する必要があると言いました。そうすれば、すべてのプロトコルなどにアクセスできます。これがより安全であることを理解しています。しかし、それは本当に遅いです。私は写真家で、20〜30GBのファイルをダウンロードする必要があるかもしれません。 VPNがなければ、これには長い時間がかかりました。 VPNを使用すると、さらに時間がかかります。
したがって、本当にすべてのポートを閉じる必要がありますか。私は非常に長く洗練されたパスワードを持っています。これは、唇の数字と数字の大文字と小文字をすべて組み合わせたもので、単一の辞書の単語や頭字語は含まれていません。
AFPポートを開くことはできますか? DDOSまたはブルートフォース攻撃のオッズ/リスクは何ですか?
ポートが開いていてインターネットに公開されている場合の問題は、そのポートでメッセージをリッスンするプログラムがあることです。到着したメッセージの形式が正しくない場合(リスニングを実行するプログラムのルールによって)、要求を拒否してポートを閉じる必要があります。ただし、リッスンを実行しているプログラムに脆弱性がある場合、攻撃者は、拒否されるのではなく、有効であると認められるが、意図したとおりに動作しないメッセージを作成する可能性があります。
たとえば、AFPポートに送信できるメッセージとそのポートで何ができるかなどです。認証にはユーザー名とパスワードが必要ですか?もしそうなら、使用できるすべてのユーザー名とパスワードが安全であれば、あなたは合理的に安全かもしれません。ユーザー名とパスワードを必要としない場合、ゲストユーザーの単純なバイパスなどがある場合は、システムへの部外者の侵入を許可し、(AFPプログラムのバグとは関係なく)プロトコルで許可されていることをすべて実行できます。 AFPを介して要求できるすべての可能な操作を知っていますか?本当にそれらすべてですか、それとも文書化されたものだけですか?それらはすべて安全ですか?誰かがあなたの...個人データを見ることができることを気にしますか?
明らかに、AFPが認証を必要とし、何がチャックされていても認証が安全であることが確実であるため、ユーザー名と対応するパスワードを知っている人だけが侵入できる場合は、推定上の攻撃者にとってより困難になっています。それを得るために-多分、あなたが運が良ければ、彼らは気にしないでしょう。しかし、彼らは気にするかもしれません。ポートを永続的に開く必要がない場合は、開いたままにしないでください。悪意のある攻撃が成功する可能性を減らします。 (最も安全なソフトウェアはインストールされていないソフトウェアです。次に安全なソフトウェアは実行できないソフトウェアです。)
私はあなたがあなたから接続するどちらの端を制御することができますあなたは少し速く走ることができるかもしれません。 MacからVPNを必要としないサイトへの発信接続は、VPNを介した着信接続よりも高速な場合があります。残念ながら、VPNには転送が遅くなる可能性のあるオーバーヘッドがあります。圧縮ファイルを転送する場合は、VPN接続で圧縮をオフにすると便利な場合があります。