ฉันได้อ่านแล้วว่าการส่งต่อพอร์ตทำให้คอมพิวเตอร์ของคุณมีช่องโหว่ด้านความปลอดภัย พอร์ตที่ส่งต่อพอร์ตบนคอมพิวเตอร์หนึ่งเครื่องจะเปิดเผยคอมพิวเตอร์เครื่องอื่นในเครือข่ายด้วยหรือไม่
ฉันได้อ่านแล้วว่าการส่งต่อพอร์ตทำให้คอมพิวเตอร์ของคุณมีช่องโหว่ด้านความปลอดภัย พอร์ตที่ส่งต่อพอร์ตบนคอมพิวเตอร์หนึ่งเครื่องจะเปิดเผยคอมพิวเตอร์เครื่องอื่นในเครือข่ายด้วยหรือไม่
คำตอบ:
คุณสามารถพิจารณาขอบเขตของเราเตอร์ระหว่างเครื่องที่คุณเชื่อถือและที่คุณไม่ต้องการ เมื่อคุณส่งต่อพอร์ตคุณอนุญาตให้เข้าถึงจากเครื่องที่คุณไม่ไว้ใจเครื่องที่คุณทำ สิ่งนี้จะช่วยลดความน่าเชื่อถือของเครื่องของคุณโดยอัตโนมัติ สิ่งนี้ได้รับการรับประกันเพราะเมื่อคุณส่งต่อพอร์ตคุณกำลังบอกว่ามันเป็นที่ยอมรับได้สำหรับเครื่องที่คุณไม่ไว้วางใจที่จะมีอิทธิพลต่อพฤติกรรมของสิ่งที่คุณไว้วางใจทุกครั้งที่มีการเชื่อมต่อ
ในขณะที่คุณสามารถอนุญาตให้เข้าถึงบริการเฉพาะบนเครื่องของคุณและควร จำกัด อิทธิพลต่อปริมาณที่ทราบ (เช่นการให้บริการหน้าเว็บ) แต่ไม่มีการรับประกันว่าไม่มีช่องโหว่ที่เป็นช่องโหว่ในแอปพลิเคชันที่คุณอนุญาตให้ เข้าถึงได้โดยบุคคลภายนอก หากมีช่องโหว่อยู่และถูกโจมตีช่องโหว่ที่ร้ายแรงที่สุดคือบุคคลอื่นสามารถควบคุมเครื่องของคุณได้ หากพวกเขามีการควบคุมเครื่องของคุณพวกเขาสามารถใช้เป็นจุดกระโดดเพื่อตรวจสอบเครื่องอื่น ๆ ในเครือข่ายของคุณเพื่อหาช่องโหว่
นี่คือเหตุผลที่ในสภาพแวดล้อมขององค์กรพยายามที่จะทำให้แน่ใจว่าเครื่องใด ๆ ที่จะเข้าถึงได้โดยตรงจากอินเทอร์เน็ตจะถูกแยกออกจากส่วนที่เหลือของเครือข่ายผ่านไฟร์วอลล์ วิธีนี้จะช่วยจำกัดความสามารถของผู้โจมตีในการเข้าสู่เครือข่ายเพิ่มเติม
ดังนั้นนี่คือความเสี่ยงที่คุณต้องยอมรับและช่วยกำหนดความเสี่ยงได้ดียิ่งขึ้นคุณจะต้องตรวจสอบประวัติของแอปพลิเคชั่นที่ถูกเปิดเผยว่ามีการเปิดเผยช่องโหว่ที่สำคัญบ่อยเพียงใดและรวดเร็วแค่ไหน
กลยุทธ์การบรรเทาผลกระทบที่คุณสามารถทำได้คือลดการเปิดเผยของคุณ สามารถทำได้โดยการส่งต่อพอร์ตเฉพาะเมื่อคุณต้องการใช้บริการหรือปิดแอปพลิเคชันเมื่อไม่ต้องการ
หากเรายอมรับสมมติฐานที่ว่าการเปิดพอร์ตไปยังเครื่องอนุญาตให้เครื่องนั้นถูกบุกรุกได้ พอร์ตทุกพอร์ตในเครื่องเปิดให้ทุกเครื่องในเครือข่ายเดียวกัน ดังนั้นหากการเปิดพอร์ต X ไปยังเครื่อง Y มีความเสี่ยงต่อการสูญเสียของเครื่อง Y ทุกคนที่ได้รับอันตรายจากเครื่อง Y ก็สามารถเข้าถึงพอร์ต X บนเครื่อง Z ได้ดังนั้นพวกเขาจึงสามารถประนีประนอมเครื่อง Z ได้เช่นกัน
แต่นี่เป็นเพียงการแสดงให้เห็นว่าการพูดคุยโดยทั่วไปเช่น "การเปิดเผยถึงช่องโหว่ด้านความปลอดภัย" เป็นเรื่องที่คลุมเครือเกินไปที่จะเป็นประโยชน์ การเสียบเครื่องเข้ากับเครื่องจะเป็นการละเมิดความปลอดภัย การจัดการกับความเสี่ยงในระดับที่ไม่ได้นำไปสู่ข้อสรุปที่ไร้สาระ
ไม่มันไม่ได้ - อย่างน้อยก็ไม่ได้โดยทั่วไป แต่ถ้าคุณส่งต่อพอร์ตไปยังเครื่องหนึ่งมีโอกาสสูงที่แอพพลิเคชั่นนี้จะถูกโจมตี / ใช้ประโยชน์ ในระหว่างนี้มันอาจเรียกใช้รหัสที่เป็นอันตรายเช่นหนอน / โทรจันซึ่งสามารถแพร่กระจายในเครือข่ายภายในของคุณ
ไม่ได้จริงๆ หากไม่มีการส่งต่อพอร์ตแพ็กเก็ตขาเข้าจะถูกส่งโดยเราเตอร์เนื่องจากไม่สามารถระบุปลายทางได้ โดยการส่งต่อพอร์ตแพ็คเก็ตเหล่านั้นจะถูกนำไปยังเครื่องเฉพาะ โดยทั่วไปจะไม่เป็นอันตราย ไฟร์วอลล์ของคุณจะวางแพ็กเก็ตที่ไม่ต้องการ แม้ว่าจะไม่ได้ไม่มีโปรแกรมใดที่จะฟังพอร์ตนั้นและแพ็กเก็ตจะไม่ส่งผลกระทบต่อเครื่องแน่นอนด้วยข้อยกเว้นของโปรแกรมที่คุณตั้งค่าพอร์ตไปข้างหน้าในครั้งแรก แต่นั่นเป็นพฤติกรรมที่ตั้งใจไว้ .
โปรแกรมที่คุณใช้อาจมีข้อบกพร่องด้านความปลอดภัย พอร์ตเปิดจะช่วยให้ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องเหล่านี้ได้ การไม่เปิดพอร์ตจะเพิ่มระดับการป้องกันด้วยการทำให้เครื่องเข้าถึงได้น้อยลงจากอินเทอร์เน็ต แต่ตัวมันเองอาจต่อต้าน มันเทียบเท่ากับมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพมากในการทำให้คอมพิวเตอร์ปิดตัวลงตลอดไป
เครื่องอื่น ๆ ในเครือข่ายของคุณจะไม่ถูกโจมตีดังกล่าว พวกเขายังไม่สามารถเข้าถึงโลกภายนอกโดยไม่คำนึงถึงพอร์ตที่คุณอาจส่งต่อไปยังเพื่อนบ้านของพวกเขา ความเสี่ยงนั้นขึ้นอยู่กับความจริงที่ว่าเครื่องที่ถูกเปิดเผยนั้นอาจถูกบุกรุกได้ โดยปกติเครื่องที่ได้รับการป้องกันโดยเลเยอร์ของ NAT จะมีความเสี่ยงเนื่องจากโฮสต์ที่ไม่น่าเชื่อถือในเครือข่ายท้องถิ่น
ส่วนหนึ่งเป็นเพราะเหตุนี้ NAT จึงไม่ถือเป็นเลเยอร์ความปลอดภัยที่แข็งแกร่งและการเจาะรูในนั้นไม่ควรทำให้เครือข่ายของคุณมีความเสี่ยง อย่างไรก็ตามควรตั้งค่า VPN แทนการส่งต่อพอร์ตในกรณีที่แอปพลิเคชันของคุณใช้โดยเครื่องที่เชื่อถือได้เท่านั้น โดยทั่วไปควรระวังว่าเจ้าภาพใดน่าเชื่อถือ