在公共互联网上暴露我们的家用电脑有哪些风险?

信息安全 网络 视窗 网络服务器 虚拟主机
2021-09-01 12:24:49

我目前正在家里运行一个网络服务器,可以通过静态 IP 在公共互联网上访问。这样做有什么风险?

据我了解,该设置不允许除端口 80 之外的连接,因此我的网络和计算机可以免受攻击,但对吗?

有哪些措施可以将所涉及的风险降至最低?

3个回答

好吧,一般建议可能是这样的:

  • 在您的 Web 服务器前面放置一个防火墙。只允许您需要允许的流量,并拒绝(丢弃或拒绝在很大程度上是一个偏好问题)其他一切。您已经完成了这项工作,但不仅仅是运行防火墙软件。

  • 用细齿梳检查软件配置。尤其要考虑与文件上传、代码执行等相关的任何事情。

  • 使甚至可能暴露在 Internet 上的所有内容都保持最新状态。这包括操作系统、Web 服务器、通过它提供的任何东西(请记住,那些允许您上传和查看文件的 PHP 脚本是可执行的计算机代码,可能存在与安全相关的错误)以及这些应用程序依赖的任何东西(例如数据库服务器)。

即使在最好的情况下,您的设置也只会与可通过 Internet 访问的任何内容的不安全部分一样安全。当您开始接受来自 Internet 的数据包而不是完全阻止所有内容时,总是存在操作系统的 TCP/IP 堆栈、处理数据包的软件或数据最终进入的位置出现错误的风险,可能会导致计算机表现出您不希望的行为(也称为某种安全漏洞)。

一旦安全相关问题的修复程序可用,很多人就会开始检查它,看看他们是否能够利用已修复的内容用于非法目的。

任何连接到 Internet 的主机都会看到来自各种机器人的定期扫描。有些是无害的;有些愚蠢到本质上是无害的;但有些实际上是有潜在危险的,并且端口 80 上的 HTTP 很常见,您应该期待大量这样的流量。您没有指向您的 IP 地址的主机名并不会改变这一事实。这意味着 Web 服务器及其上运行的任何东西都必须能够根据任何 Web 服务器软件和版本中当前已知的安全漏洞来处理任何人可以扔给它的任何东西(因为攻击者不会确切知道你可能正在运行)。

风险:

  • 对您的公共计算机的拒绝服务攻击。可能是您的整个家庭网络,具体取决于设置。
  • 如果您的静态 IP 具有域名,则WHOIS条目将使您的个人联系方式全球可见,除非(对于某些注册商)您为隐私支付额外费用。
  • 任何对您或您的服务的 IP 禁令或黑名单都会更有效,因为您的 IP 不会改变。假设没有匿名路由,出于同样的原因,您可以更一致地跨时间和服务进行跟踪。
  • 如果您的计算机作为服务器必须一直处于打开状态,那么攻击和维持攻击的机会就会增加。如果计算机是您的个人计算机,其中包含家庭照片、文档、密码文件等,则无需进一步穿透防火墙。

建议:

为了从家庭服务器中获得最大的好处(和最大的安全性),我建议实际具有静态 IP 的计算机是无头迷你计算机。

这台没有显示器或键盘的计算机可以充当家庭网络的主要防火墙和反向代理。它可以被视为您家庭网络的非军事区 (DMZ),并保护存储在普通私人计算机上的所有资产。现在,您的正常计算机网络的其余部分是否保持 24/7 全天候运行取决于 Web 服务器是否托管在 DMZ* 内(或两者都托管在两层 Web 解决方案中)。

这个想法是,这个公共服务器在它拥有的信息和内部权限方面得到了强化和高度限制;通常运行自己的更安全的操作系统(例如 Linux)。

无头微型计算机/家庭服务器的成本取决于非军事化服务需要多少性能和空间。在低端,你有可能 200 美元的Raspberry Pi到 2000 美元或更多的野兽盒(减去视频卡)。与内容丰富的 Drupal 站点相比,低端更适合路由和访问控制,但这里有一个Raspberry 网络服务器的示例。

* 从技术上讲,我在某种程度上滥用了 DMZ 一词;因为 DMZ 是由两个或多个路由器/防火墙包围的逻辑网络;就像城堡要塞的贝利/杀戮场。家庭服务器既是 DMZ 的内部防火墙,又是同一 DMZ 中的资产。

提供 HTTP 服务意味着该服务中的任何漏洞都会成为攻击者的切入点。因此,请务必尽职尽责地管理此服务:尽快应用供应商发布的安全修复程序。这既适用于 HTTP 服务器软件本身(例如Apache),也适用于“站点代码”(PHP 代码中的一个漏洞仍然是一个漏洞)。除此之外,在技​​术方面,此服务器不会增加您的(不)安全性

但是,公开可用的 HTTP 服务器意味着更高的曝光率大多数人不是通过运行完全打补丁的软件来逃避麻烦,而是通过成为普通人来逃避麻烦。在家上网的人像普通人一样上网。无趣的笨蛋。其中有这么多,也许是数十亿,没有人真正有动力侵入他们的机器。当然,有很多自动黑客行为正在发生。那些僵尸网络不会养活自己!但没有来自积极主动、聪明的攻击者的真正威胁。通过运行 Web 服务器,您变得不寻常。你可能会引起兴趣。在家中运行 Web 服务器的人可能会提供有趣的数据;至少他们努力为其他人提供服务。

基本上,提供这样的服务往往会消除一个非常强大的保护层,即匿名性(如:“不会出现在大众的雷达上”)。仅仅通过看起来“正常”来逃避攻击,从概念上讲,保护您的信息资产的方式非常不令人满意,但它的效果非常好;你的 HTTP 服务器将把你从那里剥离。

另一个令人担忧的原因是,您的家庭网络受到您的电缆/ADSL 调制解调器(由您的 ISP 提供)和可能的某种家庭 (WiFi) 路由器的联合力量的“保护”,免受入侵。这些设备使用很少更新的软件,因此往往存在许多安全漏洞。你真的不想引起人们的注意

其它你可能感兴趣的问题
上一篇暴露有效用户名有多糟糕? 下一篇自执行文件