保护开放端口的最佳/常用选项是什么?例如对于 Plex 或 torrent 一些我能想到的:
- 将端口号从标准更改为随机未使用的端口号以帮助混淆
- 设置防火墙以将传入流量限制为仅有效来源(即 plex),尽管 up 可以被欺骗
- 在 VPN 中运行,但面向互联网的 VPN 可能更高调 目标
- 在 vm 中运行服务以尝试包含任何违规行为
我错过了什么吗?我知道 Plex 已经加密,但不排除 Plex 中的任何漏洞。
AskOverflow.Dev
最好的事情是不要运行任何正在侦听端口的东西。通过只让你需要运行的东西来限制你的攻击面,并且只让你需要的接口和端口上监听,这是第一件也是最好的事情。
其他常见选项包括
阻止/限制路由器上的端口
在运行服务的系统上配置防火墙并阻止/限制系统上的端口 - 有时此防火墙是防病毒包的一部分
在您的网络上运行监控软件,A) 记录流量以供以后分析,B) 更新并制定来自服务的 IP 和其他阻止列表,和/或 C) 查找传入流量中的模式并在发现任何异常时发送警报,
在路由器和核心交换机之间插入执行上述任何操作的设备(专用防火墙、安全设备)
系统上的软件黑名单(无法运行特定的可执行文件,通常与防病毒或其他安全套件集成)
系统上的软件白名单(只能运行特定的可执行文件)
通过物理网络拓扑或 VLAN 分配限制访问
VPN/加密隧道服务,在网络边缘(路由器和核心交换机上或之间)运行,仅在经过身份验证和加密后才允许外部访问。
这是“默默无闻的安全”,不会影响将检查所有端口的坚定对手。不过,它会阻止许多自动攻击,并可能会减少您记录的事件数量。
真正的问题是,虽然您可以更改服务使用的端口,但您可能无法在客户端控制它,并且中间的网络可能会阻塞标准端口。如果您在家中通过蜂窝连接访问 Plex,您可能会发现 443 以外的端口被蜂窝网络阻止。一些访客 Wifi 热点可能会这样做。
假设你有一个所有东西都在后面的单一 IP,那么无论如何你都只有一个进入网络的入口点可以保护。VPN 增加了身份验证和加密,但除非您的 VPN 加密或身份验证很弱,否则使用它并不会让您的情况变得更糟。
这可能会有所帮助,但是即使在 VM 中,高级攻击者也可以使用诸如 Spectre 等 CPU 漏洞。极其敏感的服务应该在它们自己的物理设备上运行。