يكون خادم المنزل معرضًا للإنترنت عندما يمكن لجهاز خارجي الوصول إلى إحدى خدماته عبر اتصال الشبكة العامة الخاص بك. قد يكون هذا التعرض مقصودًا، مثل موقع ويب عام أو خادم ألعاب، أو عرضيًا، مثل قاعدة توجيه منفذ قديمة لا تزال تشير إلى لوحة إدارة.
فتح منفذ لا يعني تلقائيًا أن خادمك تم اختراقه. يعني أن شيئًا ما قابل للوصول ويحتاج إلى تحديد. الفحص العملي هو عرض شبكتك من الخارج، ثم تتبع كل منفذ قابل للوصول عبر جهاز التوجيه، وجدار الحماية، ونظام التشغيل، والحاويات حتى تعرف بالضبط أي خدمة تستجيب.
ما يعنيه "التعرض للإنترنت" فعليًا
افترض أن خادم الوسائط الخاص بك، أو تطبيق الملفات، أو خدمة SSH، أو لوحة التحكم يتم تحميلها بينما يستخدم هاتفك بيانات الهاتف المحمول. هذا لا يعني بالضرورة أن خادم المنزل بأكمله عام. عادةً ما يعني أن عنوان IP ومنفذ عام محدد يمكنه الوصول إلى خدمة واحدة تعمل على ذلك الجهاز.
يعتمد الخطر على ما هو مكشوف. موقع HTTPS مُدار على المنفذ 443 يختلف عن صفحة إدارة NAS، أو قاعدة بيانات، أو API دوكر، أو خدمة SSH تعتمد على كلمة مرور. التعرض يعني إمكانية الوصول؛ ولا يعني ما إذا كانت الخدمة آمنة، أو معرضة للخطر، أو مخترقة بالفعل.
الهدف ليس إغلاق كل منفذ دون فهمه. الهدف هو الحفاظ على قائمة قصيرة من الخدمات العامة المقصودة والتحقيق في أي شيء لا ينتمي إلى تلك القائمة.
قم بإجراء الاختبار الأول من خارج شبكة منزلك
قد لا يظهر الاختبار الذي يتم من شبكة الواي فاي المنزلية ما يراه المستخدم الخارجي. قد يدعم جهاز التوجيه الخاص بك حلقة NAT، أو قد يحل النطاق الخاص بك إلى عنوان خاص عبر DNS المحلي، أو قد يتحول التطبيق بهدوء إلى اتصال LAN.
قم بإيقاف تشغيل الواي فاي على هاتفك واستخدم بيانات الهاتف المحمول. جرب النطاق العام، أو عنوان IP العام، أو عنوان الخدمة الذي تعتقد أنه مكشوف. يمكنك أيضًا الاختبار من شبكة مكتب، أو منزل آخر، أو نظام سحابي تتحكم فيه. اختبر فقط الأنظمة والعناوين التي تملكها أو مخول لك فحصها.
إذا تم تحميل الخدمة من شبكة خارجية حقيقية، فهي قابلة للوصول من الإنترنت عبر مسار ما. إذا فشلت، فهذا لا يثبت بعد أن كل شيء مغلق؛ قد تستخدم الخدمة منفذًا مختلفًا، أو عنوان IPv6، أو VPN، أو ترحيل، أو نفق.
تحديد العنوان العام الذي تختبره
قد يحتوي خادم المنزل الخاص بك على عنوان مثل 192.168.1.50، بينما يحتوي جهاز التوجيه الخاص بك على عنوان WAN ويظهر اتصال الإنترنت الخاص بك تحت عنوان IP عام آخر. هذه العناوين تخدم أغراضًا مختلفة.
يُستخدم العنوان الخاص بالخادم داخل شبكة LAN. عادةً ما يختبر فاحص المنفذ الخارجي عنوان IPv4 العام أو اسم المضيف العام الذي تصل إليه حركة المرور الخارجية. إذا لم يتطابق عنوان WAN الخاص بالراوتر مع العنوان العام المعروض بواسطة خدمة IP خارجية، فقد يكون مزود خدمة الإنترنت يضع الاتصال خلف NAT على مستوى الناقل.
دوّن عنوان IP الخاص بخادم LAN، عنوان IP الخاص بالراوتر WAN، عنوان IPv4 العام، عنوان IPv6 العام إذا كان موجودًا، وأي أسماء نطاقات تستخدمها. هذا يجعل من الأسهل بكثير ربط نتيجة الفحص الخارجي بقاعدة الراوتر الصحيحة والجهاز الداخلي.
استخدم فحص منفذ خارجي للعثور على الخدمات القابلة للوصول
يحاول فاحص المنفذ الخارجي الاتصال بمنفذ معين من خارج شبكة LAN الخاصة بك. ابدأ بالمنافذ التي تعرف أنها مرتبطة بخدماتك، بدلاً من فحص آلاف المنافذ بدون خطة.
يمكنك اختبار منفذ خارجي معين مقابل عنوانك العام. هذا يمكن أن يؤكد ما إذا كانت قاعدة إعادة التوجيه تعمل أو ما إذا كان جدار حماية يحجب الاتصال. يجب أن تكون الخدمة عادةً قيد التشغيل أثناء الاختبار؛ قد يجعل التطبيق غير النشط قاعدة إعادة التوجيه الصالحة تبدو مغلقة.
المنافذ الشائعة تشمل 22 لـ SSH، 80 لـ HTTP، 443 لـ HTTPS، 445 لـ SMB، 3389 لسطح المكتب البعيد، ومنافذ خاصة بالتطبيقات للوسائط، الألعاب، أو الخدمات المستضافة ذاتيًا. لا تفترض أن منفذًا مخصصًا برقم عالٍ آمن لمجرد أنه أقل شهرة.
| النتيجة | ما يعنيه عادةً | ماذا تفعل بعد ذلك |
| مفتوح | وصل اتصال خارجي إلى خدمة تستمع | حدد التطبيق وتأكد من أن التعرض مقصود |
| مغلق | العنوان استجاب، لكن لم تقبل أي خدمة ذلك الاتصال | تأكد من أن هذا يتطابق مع التكوين المتوقع لديك |
| تمت تصفيته أو انتهى الوقت | قد يقوم جدار حماية، مزود خدمة الإنترنت، طبقة CGNAT، أو مسار الشبكة بحجب حركة المرور | تحقق من الراوتر، مسار مزود الخدمة، وجدار حماية الخادم |
| استجابة خدمة غير متوقعة | قد يؤدي المنفذ إلى تطبيق مختلف عن المتوقع | عطل القاعدة حتى يتم تحديد الخدمة |
راجع كل قاعدة إعادة توجيه منفذ على الراوتر الخاص بك
إعادة توجيه المنفذ هو أحد أكثر الطرق المباشرة لجعل خدمة منزلية عامة. تخبر القاعدة الراوتر بقبول حركة المرور على منفذ خارجي وإرسالها إلى عنوان IP ومنفذ داخلي معين.
تحقق من أقسام الراوتر المعنونة بإعادة توجيه المنفذ، الخادم الافتراضي، قواعد NAT، التطبيقات، أو الألعاب. لكل قاعدة، قم بتسجيل المنفذ الخارجي، البروتوكول، عنوان IP الوجهة، المنفذ الداخلي، والخدمة المقصودة. السلوك المهم هو تعيين المنفذ من العام إلى الخاص الذي يمنح الاتصال الخارجي مسارًا إلى جهاز داخلي واحد.
احذف القواعد التي لم تعد لها غرض واضح. انتبه بشكل خاص لقواعد إعادة التوجيه الموجهة لإدارة الموجه، إدارة NAS، SSH، سطح المكتب البعيد، قواعد البيانات، واجهات الكاميرا، أو التطبيقات المستضافة ذاتيًا القديمة التي لم تعد تُصان.
تحقق مما إذا كان UPnP قد فتح المنافذ تلقائيًا
قد تجد منفذًا مفتوحًا حتى لو لم تنشئ قاعدة إعادة توجيه يدويًا. يمكن لخوادم الوسائط، وأجهزة الألعاب، وتطبيقات الند للند، والكاميرات، وبرامج أخرى أحيانًا طلب إنشاء تعيين تلقائي من الموجه.
عادةً ما يتم توفير هذا السلوك من خلال Universal Plug and Play. يمكن للتطبيقات إنشاء تعيينات منافذ الموجه التلقائية عبر UPnP، وهو أمر مريح لكنه يجعل التعرض أصعب في التدقيق عندما لا يعرف المستخدمون أي تطبيق طلب كل قاعدة.
ابحث عن حالة UPnP أو جدول تعيين المنافذ في واجهة الموجه. احذف التعيينات غير المفسرة وقم بتعطيل UPnP إذا لم يكن منزلك بحاجة إليه. إذا أبقيته مفعلاً لتطبيق معين، راجع تعييناته دوريًا بدلاً من افتراض اختفائها عند إغلاق التطبيق.
تأكد من أن الخادم غير مضبوط كمضيف DMZ
بعض موجهات المنزل تتضمن إعدادًا يسمى مضيف DMZ، المضيف المكشوف، أو الخادم الافتراضي. على الرغم من الاسم، هذا ليس نفس شبكة DMZ المعزولة بعناية في المؤسسات.
في العديد من الموجهات الاستهلاكية، يرسل الإعداد حركة واردة غير مرغوب فيها لا تطابق قاعدة أخرى إلى جهاز داخلي محدد. إذا تم اختيار خادم المنزل، قد يكون هناك عدد أكبر من المنافذ متاحة مما قصد المستخدم.
ما لم يكن لديك سبب محدد ومفهوم جيدًا، لا يجب تكوين الخادم كمضيف DMZ. قم بتعطيل الإعداد وأنشئ قواعد ضيقة فقط للخدمات الفردية التي تحتاج فعليًا إلى الوصول العام.
تحقق من الخدمات التي تستمع على الخادم
تفحص خارجي يخبرك أن المنفذ يستجيب، لكنه لا يخبرك دائمًا أي عملية محلية تملكه. الخطوة التالية هي فحص الخادم نفسه.
على لينكس، أوامر مثل ss -lntup يمكن أن يعرض مقابس TCP وUDP المستمعة والعمليات المرتبطة بها. على ويندوز، netstat -ano ويمكن لأداة مراقبة الموارد أن تساعد في ربط منفذ الاستماع بمعرف العملية. تحقق مما إذا كانت كل خدمة تستمع على 127.0.0.1، عنوان LAN محدد، 0.0.0.0، أو عنوان IPv6.
خدمة مرتبطة بـ 127.0.0.1 عادة ما يكون محليًا على الجهاز. خدمة مرتبطة بـ 0.0.0.0 أو :: يستمع على واجهات متعددة وقد يصبح متاحًا للجمهور عندما يسمح الموجه وجدار الحماية بذلك. الربط بشكل واسع ليس بالضرورة غير آمن، لكنه يزيد من أهمية قواعد جدار الحماية.
لا تنسَ جدار حماية الخادم
الموجه هو طبقة أمان واحدة فقط. قد تسمح قواعد جدار الحماية في لينكس، جدار حماية ويندوز، جدار حماية المشرف الافتراضي، أو ضوابط الوصول على مستوى التطبيق بالاتصال النهائي أو تمنعه.
راجع قواعد الدخول وحدد ما إذا كانت تنطبق على الشبكة المحلية فقط، أو كل الواجهات، أو عناوين مصادر محددة، أو كليهما IPv4 وIPv6. قد يكون مثبت التطبيق قد أنشأ قاعدة سماح تلقائيًا، وقد تبقى قاعدة قديمة بعد إزالة التطبيق.
الإعداد الافتراضي المفيد هو رفض حركة المرور الواردة غير المرغوب فيها وإضافة استثناءات ضيقة فقط عند الحاجة. قيد الخدمات الإدارية على شبكة VPN فرعية أو عناوين مصادر موثوقة كلما أمكن.
نشر منفذ Docker يمكن أن يكشف أكثر مما هو متوقع
تخلق الحاويات طبقة أخرى بين المنفذ الخارجي والتطبيق. إدخال Compose مثل 8080:80 ينشر منفذ الحاوية 80 عبر المنفذ 8080 على المضيف.
عندما يكون منفذ المضيف المنشور قابلًا للوصول عبر جدار الحماية والموجه، يمكن أن تصبح الحاوية معرضة للإنترنت. راجع docker ps، ملفات Compose، شبكات المضيف، تكوين الوكيل العكسي، وأي حاوية تركب مقبس Docker أو تعمل بصلاحيات مرتفعة.
انشر فقط المنافذ التي يجب الوصول إليها خارج شبكة الحاويات. يجب أن تبقى قواعد البيانات الداخلية، والتخزين المؤقت، ولوحات المعلومات، وواجهات برمجة التطبيقات بين الخدمات عادةً على شبكات Docker الخاصة بدلاً من نشرها على كل واجهة مضيف.
تحقق من IPv6 بشكل منفصل عن IPv4
يمكن أن يكون الخادم غير قابل للوصول عبر IPv4 العام ولا يزال يمكن الوصول إليه عبر IPv6. عادةً لا يعتمد IPv6 على نفس نموذج إعادة توجيه المنفذ NAT المستخدم في اتصالات IPv4 المنزلية.
إذا قام مزود خدمة الإنترنت الخاص بك بتفويض عناوين IPv6 عامة لأجهزة المنزل، يصبح جدار حماية الموجه هو الحدود الرئيسية. خدمة تستمع على :: قد يكون لديه عنوان عام حتى عندما يبلغ فاحص منفذ IPv4 أن المنفذ المقابل مغلق.
تحقق من عناوين IPv6 العالمية للخادم، وقواعد جدار الحماية IPv6 للموجه، وسجلات DNS العامة AAAA، وربط الخدمة. اختبر IPv4 وIPv6 بشكل مستقل حتى لا يخلق نتيجة IPv4 المغلقة ثقة زائفة.
استخدم Shodan كفحص للرؤية التاريخية
يُظهر فحص المنفذ الحي ما يستجيب الآن. قد ترغب أيضًا في معرفة ما إذا كان ماسح الإنترنت قد فهرس الخدمات سابقًا على عنوانك العام.
يمكنك مراجعة الخدمات المفهرسة علنًا المرتبطة بعنوان IP. قد تتضمن النتائج المنافذ، ولافتات الخدمة، والشهادات، وأسماء البرامج، أو معلومات أخرى لوحظت خلال فحص سابق.
اعتبر هذا فحصًا ثانويًا. قد تكون البيانات قديمة، وقد يكون عنوان IP الديناميكي قد كان مملوكًا لعميل آخر سابقًا، وقد لا يظهر المنفذ المفتوح حديثًا على الفور. عدم وجود نتيجة في Shodan لا يثبت أن الخادم غير مرئي أو آمن.
قارن كل منفذ مفتوح مع قائمة الخدمات المقصودة
بمجرد أن تحصل على نتائج خارجية، وقواعد الموجه، والخدمات المستمعة، وخرائط الحاويات، أنشئ قائمة واحدة تشرح كل منفذ يمكن الوصول إليه. هذه هي الخطوة التي تحول الفحوصات المتفرقة إلى تدقيق تعرض.
صنف كل خدمة على أنها عامة حسب التصميم، وصول عن بُعد خاص، خاص بالشبكة المحلية فقط، أو غير معروف. قد ينتمي موقع ويب عام إلى الفئة الأولى. قد ينتمي مشاركة ملفات، لوحة إدارة NAS، أو خدمة SSH إلى خلف VPN. يجب أن تبقى قواعد البيانات وواجهات إدارة دوكر عادةً خاصة بالشبكة المحلية فقط.
يجب تعطيل أو حظر أي شيء موسوم بأنه غير معروف حتى يتم تحديده. من الأكثر أمانًا مقاطعة خدمة غير مفسرة مؤقتًا بدلاً من ترك نقطة دخول عامة غير محددة تعمل.
| عنصر التدقيق | سؤال يجب الإجابة عليه |
| المنفذ العام | لماذا يحتاج هذا المنفذ إلى قبول حركة مرور الإنترنت؟ |
| العملية المستمعة | أي تطبيق أو حاوية تملك المنفذ؟ |
| المصادقة | هل تتطلب الخدمة بيانات اعتماد قوية أو مصادقة متعددة العوامل؟ |
| التشفير | هل حركة المرور محمية ببروتوكول HTTPS صالح أو بروتوكول آمن آخر؟ |
| حالة البرنامج | هل التطبيق لا يزال يتم صيانته وتحديثه؟ |
| تعيين الموجه | هل تم إنشاء القاعدة يدويًا، عبر UPnP، أو بواسطة نظام آخر؟ |
| تكوين الحاوية | هل ينشر دوكر منفذًا يجب أن يبقى داخليًا؟ |
| مسار IPv6 | هل يمكن الوصول إلى الخدمة عبر IPv6 عام؟ |
| السجلات | هل هناك محاولات تسجيل دخول غير معروفة، طلبات، أو عناوين مصدر؟ |
| الاسترداد | هل يمكن استعادة الخدمة وبياناتها بعد حادثة؟ |
ماذا تفعل إذا وجدت منفذًا مفتوحًا غير متوقع
إذا وجد فحص خارجي خدمة SSH، واجهة إدارة، قاعدة بيانات، صفحة كاميرا، API دوكر، أو خدمة أخرى لم تكن تنوي نشرها، قلل من التعرض قبل متابعة التحقيق.
قم بتعطيل إعادة توجيه المنفذ أو تعيين UPnP، أزل الجهاز من أي إعداد DMZ، أوقف الخدمة غير الضرورية، وأضف قاعدة جدار حماية تحظر المسار. ثم قم بتحديث نظام التشغيل والتطبيق، راجع سجلات الوصول الأخيرة، وغيّر بيانات الاعتماد أو مفاتيح API التي قد تكون تعرضت.
فتح منفذ بمفرده ليس دليلاً على الاختراق. ومع ذلك، فإن تسجيلات الدخول غير المعروفة، الملفات المعدلة، الحسابات غير المألوفة، العمليات غير المفسرة، المهام المجدولة الجديدة، أو حركة المرور الصادرة المشبوهة تستحق مراجعة حادثة أعمق بدلاً من مجرد تغيير جدار الحماية.
اختر طريقة وصول تتناسب مع الخدمة
ليس كل خدمة عن بُعد تحتاج إلى أن تكون عامة. عادةً ما يكون الوصول الشخصي إلى الملفات، لوحات التحكم، إدارة الخادم، SSH، أتمتة المنزل، ومكتبات الوسائط الخاصة مخصصة لمجموعة صغيرة من المستخدمين الموثوقين.
تشمل الطرق الشائعة التي تجعل الخدمات المستضافة ذاتيًا قابلة للوصول من خارج الشبكة المحلية إعادة توجيه المنافذ المباشرة، الوصول عبر VPN خاص، شبكات VPN متشابكة، البروكسيات العكسية، والأنفاق. تخلق هذه الطرق حدود تعرض وثقة مختلفة.
احتفظ بالمواقع العامة عامة عندما يكون ذلك هو هدفها، ولكن ضع الخدمات الإدارية والشخصية خلف شبكة VPN، أو شبكة VPN متشابكة، أو بوابة وصول مصدقة، أو نفق مخصص ضيق التكوين. تقليل عدد التطبيقات التي يمكن الوصول إليها مباشرة يجعل الخادم أسهل في الفهم والصيانة.
كرر الفحص بعد تغييرات الشبكة أو التطبيق
التعرض ليس إعدادًا لمرة واحدة. يمكن لاستبدال الموجه، أو تحديث Docker Compose، أو خادم لعبة جديد، أو تطبيق وصول عن بُعد، أو إعادة تعيين جدار الحماية، أو تغيير IPv6 لمزود الخدمة، أو إعادة تفعيل ميزة UPnP أن يغير ما يراه الإنترنت.
كرر الفحص الخارجي كلما أضفت خدمة، أو عدلت قواعد الموجه، أو استبدلت معدات الشبكة، أو فعلت IPv6، أو أعدت بناء مجموعة حاويات. احتفظ بسجل مختصر للمنافذ العامة المعتمدة حتى يمكن مقارنة النتائج الجديدة بالخط الأساسي المعروف.
في بيئة منزلية نموذجية، يكفي مراجعة شهرية أو ربع سنوية ما لم يتغير الخادم بشكل متكرر. العادة المهمة هي الفحص بعد تغييرات التكوين بدلاً من افتراض أن التدقيق السابق لا يزال صالحًا.
الخلاصة النهائية
أكثر الطرق موثوقية للتحقق مما إذا كان خادم المنزل مكشوفًا هي فحصه من خارج شبكة المنزل. اختبر مسارات IPv4 وIPv6 العامة، تحقق من المنافذ المحددة، ثم اربط كل نتيجة بقواعد الموجه، أو استثناءات جدار الحماية، أو العمليات المستمعة، أو تعيينات الحاويات.
المنفذ المفتوح يعني أن الخدمة متاحة، وليس مخترقة تلقائيًا. الخطر يأتي من خدمة غير مفسرة أو غير مؤمنة جيدًا. احتفظ فقط بالخدمات العامة المقصودة مكشوفة، وأزل إعادة التوجيه المنسية وتعيينات UPnP، واستخدم وصولًا خاصًا عن بُعد للإدارة وخدمات الملفات والتطبيقات الشخصية.
الأسئلة الشائعة
هل يعني المنفذ المفتوح أن خادم المنزل الخاص بي تم اختراقه؟
لا. يعني المنفذ المفتوح أن اتصالًا خارجيًا يمكنه الوصول إلى خدمة تستمع. لا يزال عليك تحديد تلك الخدمة، ومراجعة مصادقتها وحالة التحديث، وفحص السجلات بحثًا عن دليل على نشاط غير مصرح به.
هل يمكن أن يتعرض خادمي من خلال IPv6 بدون إعادة توجيه المنافذ؟
نعم. قد تحصل أجهزة IPv6 على عناوين قابلة للتوجيه علنًا، لذا تعتمد إمكانية الوصول بشكل كبير على جدران الحماية في الموجه والخادم بدلاً من إعادة توجيه NAT بأسلوب IPv4. اختبر IPv6 بشكل منفصل.
هل يجب علي تعطيل UPnP على الموجه الخاص بي؟
قم بتعطيله عندما لا تحتاج التطبيقات إلى إنشاء تعيينات المنافذ تلقائيًا. إذا أبقيته مفعلاً لألعاب الفيديو أو تطبيقات الوسائط، فراجع التعيينات النشطة بانتظام وأزل أي شيء غير مفسر.
هل يكفي بحث Shodan لإثبات أن خادمي آمن؟
لا. قد تكون بيانات Shodan متأخرة أو قديمة، وعدم وجود نتائج لا يثبت أن الخدمة غير متاحة. استخدم فحص منفذ خارجي حديث وافحص تكوين الموجه والخادم مباشرة.
ما هي خدمات خادم المنزل التي لا يجب أن تكون متاحة مباشرة للعامة؟
يجب أن تظل صفحات إدارة NAS والموجه، وقواعد البيانات، وواجهات برمجة تطبيقات Docker، ووحدات تحكم المشرف الافتراضي، ومشاركات SMB، ولوحات المعلومات الشخصية خاصة بشكل عام. قم بالوصول إليها عبر VPN أو شبكة VPN متداخلة أو مسار خاص موثوق آخر.
الدعم والنصائح
المزيد للقراءة

كيفية تحسين تخزين NAS لتحرير Adobe Premiere Pro
احتفظ بالوسائط المشتركة على جهاز التخزين الشبكي (NAS)، وذاكرة التخزين المؤقتة لبرنامج Premiere على قرص الحالة الصلبة المحلي (SSD)، وقم بضبط حجم الشبكة وفقًا...

فشل تثبيت تطبيق CasaOS: السجلات، نظام أسماء النطاقات والمنافذ
يشرح هذا الدليل كيفية استكشاف أخطاء فشل تثبيت تطبيق CasaOS من خلال التحقق من سجلات CasaOS، وسجلات Docker، وحل DNS، ووقت النظام، وبنية المعالج،...

10 تطبيقات ذات استضافة ذاتية تستحق التجربة على خادم منزلي
استكشف 10 تطبيقات عملية مستضافة ذاتيًا، بما في ذلك Immich وJellyfin وVaultwarden وNextcloud وHome Assistant وStirling-PDF وAdGuard Home.

