Предоставляет ли переадресация портов 9 для Wake On Lan мою сеть злоумышленникам?
Я пытаюсь настроить Wake on WAN, чтобы можно было включать компьютер, когда меня нет дома.
При переадресации портов UDP 9 все работает безупречно, но меня беспокоят риски безопасности.
1 ответ
Любая переадресация портов представляет собой угрозу безопасности.
Если вы пересылаете на определенный (одноадресный) IP-адрес со статической записью ARP в маршрутизаторе, вы можете минимизировать риск. MAC-адрес в статической записи ARP даже не имеет значения — если он неизвестен или его узел не работает, он все равно рассылается по всей сети. Однако при наличии определенного MAC-адреса сетевые карты всех остальных узлов даже не примут кадр, а просто проигнорируют его. Требуется статическая запись ARP, поскольку в противном случае маршрутизатор попытается динамически использовать ARP для одноадресного IP-адреса и, в случае неудачи, отбросить пакет.
Пересылка на широковещательный адрес заставляет все активные узлы получать потенциально опасный IP-пакет. Однако, если ни одно приложение не прослушивает UDP-порт 9, дейтаграмма снова отбрасывается/игнорируется. Возможно, вас это тоже вполне устраивает. (Порт 9 как для TCP, так и для UDP официально используется протоколом Discard , который просто блокирует данные, поэтому он идеально подходит для WoL.)
Конечно, любым способом любой в Интернете может разбудить машины в вашей сети, MAC-адрес которых он знает (или угадывает). Если вы используете Wi-Fi, подключенный к Ethernet (обычный способ), эти MAC-адреса могут быть видны в беспроводной сети.
Правильный способ сделать все это — настроить VPN на вашем маршрутизаторе, подключиться к нему, а затем отправить волшебный пакет WoL через туннель.