A porta que encaminha uma porta em um computador expõe outros computadores na rede também?

Você pode considerar o seu roteador o perímetro entre as máquinas em que confia e as que não confia. Quando você encaminha porta, você está permitindo o acesso de máquinas que você não confia a um que você faz. Isso reduz automaticamente a confiança da sua máquina. Isso é garantido porque, quando você está encaminhando porta, está dizendo que é aceitável que uma máquina em que você não confia influencie o comportamento de alguém em quem você confia, sempre que uma conexão é feita com ela.

Embora você possa permitir acesso somente a um serviço específico em sua máquina e, portanto, a influência deve ser limitada a uma quantidade conhecida (como veicular uma página da Web), não há garantias de que não há vulnerabilidades exploráveis no aplicativo. permitindo ser acessado por terceiros. Se uma vulnerabilidade existir e for explorada, o pior caso é que outra pessoa tenha o controle da sua máquina. Se eles controlarem sua máquina, eles poderão utilizá-la como um ponto de partida para investigar outras máquinas em sua rede em busca de vulnerabilidades.

É por isso que, em ambientes corporativos, esforços são feitos para garantir que qualquer máquina que seja acessada diretamente da Internet seja separada do resto da rede por meio de firewalls. Isso pode ajudar a limitar a capacidade de um invasor de entrar na rede.

Estratégias de mitigação que você pode empregar são sobre como reduzir sua exposição. Isso pode ser feito apenas pelo encaminhamento de porta quando você quiser usar o serviço ou fechar o aplicativo quando não for necessário.

Se aceitarmos a suposição de que abrir uma porta para uma máquina permite que essa máquina seja comprometida, então sim. Todas as portas de uma máquina estão abertas para todas as outras máquinas na mesma rede. Portanto, se a abertura da porta X para a máquina Y puder comprometer a máquina Y, qualquer um que tenha comprometido a máquina Y terá acesso à porta X na máquina Z. Assim, eles podem comprometer a máquina Z também.

Mas isso realmente mostra que falar em generalidades como "expor a violações de segurança" é realmente muito vago para ser útil. Conectar uma máquina a expõe a violações de segurança. Lidar com níveis de risco não quantificados leva a conclusões tolas.

Não, não - pelo menos não em geral. Mas se você encaminhar alguma porta para uma máquina, há uma chance maior de que esse aplicativo em particular seja atacado / explorado. Durante isso, ele pode executar um código malicioso, como um worm / trojan, que pode se espalhar na sua rede interna

Não realmente. Sem o encaminhamento de porta, os pacotes de entrada são descartados pelo roteador porque não podem determinar o destino. Ao encaminhar portas, esses pacotes são direcionados para uma máquina específica. Isso geralmente é inofensivo. Seu firewall irá remover pacotes indesejados de qualquer maneira. Mesmo que isso não aconteça, nenhum programa estará escutando essa porta específica e o pacote não afetará a máquina, é claro, com exceção do programa para o qual você tinha a porta encaminhada configurada, mas isso é o comportamento pretendido. .

O programa que você está usando pode ter falhas de segurança. Uma porta aberta permitirá que um invasor explore essas falhas. Não abrir a porta irá adicionar um nível de proteção, tornando a máquina menos acessível a partir da Internet, mas isso provavelmente é contraproducente. É o equivalente à medida de segurança muito eficaz de manter um computador desligado para sempre.

Outras máquinas em sua rede não serão expostas a tais ataques; eles ainda são inacessíveis para o mundo exterior, independentemente das portas que você pode encaminhar para seus vizinhos. O risco está no fato de que a máquina exposta pode estar comprometida. Máquinas normalmente protegidas por uma camada de NAT ficarão vulneráveis devido a um host não confiável em sua rede local.

Em parte, é por esse motivo que a NAT geralmente não é considerada como uma strong camada de segurança e que os furos não devem colocar sua rede em risco. No entanto, pode ser aconselhável configurar uma VPN em vez de uma porta, caso sua aplicação seja usada apenas por máquinas confiáveis. Mais genericamente, tenha cuidado com quais hosts são considerados confiáveis.