Consideraciones de seguridad / endurecimiento para clientes de torrent

5

Estoy ejecutando el cliente de torrente DSM de Synology en un NAS. Como tengo que (?) Abrir y reenviar un puerto UDP para DHT y otro (UDP / TCP) para la transmisión de datos, me estoy exponiendo a amenazas que se originan en Internet. Si no lo hago, evito el propósito de una red de torrentes y me convierto en un leecher.

Aunque no pude encontrar ninguna vulnerabilidad que esté dirigida contra el Administrador de descargas de Synology, todavía no me siento seguro de que puedo sentirme "seguro" (soy una persona feliz con el parche, por cierto, y mantengo todos mis sistemas actualizados) ). Pero un NAS, por definición, contiene una gran cantidad de datos y pensar que un ransomware que golpea mi NAS a través de este servicio abierto de torrent me hace temblar.

Lamentablemente, el Administrador de descargas no se puede ejecutar de forma nativa en otro segmento de la red (DMZ) que los otros servicios alojados en el NAS. Incluso si pudiera, el proceso de apertura del socket todavía se ejecutaría en el mismo hardware físico.

Larga historia corta. ¿Cómo puedo endurecer un cliente de torrent para que no sea explotado? ¿Hay alguna forma pasiva de compartir datos a través de un servicio de retransmisión para que pueda mantener mis puertos cerrados?

    
pregunta Matze 15.05.2017 - 16:22
fuente

1 respuesta

2

Es poco probable que el acto de reenvío de puertos sea un problema de seguridad importante. Los riesgos provendrían del hecho de que el protocolo de BitTorrent es muy complejo, y las bibliotecas para ello son necesariamente complejas. Cada vez que tiene un análisis de código de complejas estructuras de datos controladas por un atacante, corre el riesgo de ser explotado.

Usando una caja de arena

El endurecimiento de un cliente de torrent se puede hacer usando varias formas de sandboxing. Los diferentes sistemas operativos tienen diferentes técnicas para esto, como AppArmor en sistemas Linux, Seatbelt en OSX y AppLocker en Windows. Estos son todos los marcos para limitar las capacidades de los programas individuales, denominados Mandatory Access Controls , o MAC. Un programa limitado se denomina asunto , y los recursos a los que desea acceder se denominan objetos . Un sujeto puede restringirse para acceder solo a ciertos objetos (e incluso entonces, realizar solo operaciones limitadas en dichos objetos), o los objetos pueden ser marcados como accesibles solo por ciertos sujetos. Esta técnica general es útil para evitar que una aplicación comprometida haga mucho daño.

Usando un seedbox

Otra solución más completa es usar un seedbox. Un seedbox es un servidor remoto que ejecuta un cliente de torrent. Los torrents que se descargarán se cargan en el servidor y, cuando se completan, se pueden descargar a través de una conexión directa (a menudo http, ftp, sftp o rsync). Las cajas de semillas brindan la capacidad de continuar la siembra y la extracción de información incluso cuando su computadora está apagada o su red no funciona, y no están limitadas por los límites de ancho de banda impuestos por su ISP. Sin embargo, en este caso, también proporcionan el beneficio adicional de aislar cualquier compromiso del cliente de torrent con el propio seedbox.

Mantener copias de seguridad

Tener todos sus datos en un NAS abre el riesgo de ransomware. Es poco probable que un atacante que solo quiera distribuir dicho malware queme un día en un cliente de torrent completamente actualizado. Tales ataques son mucho más avanzados. Sin embargo, para reducir el riesgo de ransomware en general, debe mantener las copias de seguridad más importantes en el almacenamiento sin conexión. Esto es importante no solo para evitar el ransomware, sino también la corrupción catastrófica del sistema de archivos (que incluso RAID no protegería). Debe utilizar la regla de copia de seguridad 3-2-1 . Esto indica que debe conservar 3 copias de cualquier información que no quiera perder, 2 en diferentes tipos de medios de almacenamiento y 1 fuera del sitio .

    
respondido por el forest 15.12.2017 - 03:48
fuente

Lea otras preguntas en las etiquetas