作者hivenson (小洪)
标题Re: [请益] 从外面要如何连公司的电脑
时间Tue Sep 17 21:41:28 2019
※ 引述《qw5526259 (B.K)》之铭言:
: 从外面要如何连公司的电脑
: 有时公司电脑server出问题了,
: 人在家里,
: 要如何连线
: 安全性比较高呢?
: 目前我只会用teamviewer
: 有其他好的方式吗?
我是利用VPN与公司网路连接
然後利用远端桌面登入
这样安全些
也可以避免外部电脑利用3389攻击主机
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.235.17.214 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1568727690.A.6F8.html
1F:→ zbug: 转Port,对外不要用3389就好,防火墙也要关掉一些会被Ping 09/18 07:29
2F:→ zbug: 的选项,减少被扫到IP,没被扫到IP就不会被扫Port,又转Port 09/18 07:30
3F:→ zbug: 的可以减少很多不必要问题 09/18 07:31
4F:推 a2764231: 请问您所说的转PORT是指将本机的PORT使用登录档改成不同 09/18 08:30
5F:→ a2764231: 的PORT吗?还是说指防火墙中的PORT换不同的数字呢?? 09/18 08:30
6F:→ a2764231: 若是防火墙若您有空可否详细讲解呢?有GOOGLE过皆是跑 09/18 08:32
7F:→ a2764231: Port Forwarding还是这就是您所说的转PORT那我在去仔细 09/18 08:33
8F:→ a2764231: 看文章谢谢你了 09/18 08:33
9F:推 a2764231: 刚看完文章的理解是将防火墙的如3745(对外)->3389(远端) 09/18 08:41
10F:→ a2764231: 3745也可改成不同数字这样不晓得是否就是您所说的转PORT 09/18 08:43
11F:→ zbug: 都可以,基本上我不喜欢改Local的Port,比较喜欢改防火墙的 09/18 09:12
12F:→ zbug: ,方便在於...随时改一下防火墙就可以换Port 09/18 09:14
13F:→ lusaka: 你们家如果有防火墙,这件事情很好解决 09/18 09:46
14F:推 a2764231: 了解谢谢你又学到一些东西以前一直以为只能3389->3389 09/18 09:53
15F:→ zbug: 像 443 80 这些 Port 也很容易被扫(攻击),都可以转... 09/18 11:14
16F:→ zbug: 还有 SQL 的 1433 Port 也都要转掉,如果DB主机有对外 = =a 09/18 11:15
17F:→ deadwood: 转port早就不够安全了,现在每天网路上成千上万bot在扫 09/18 11:20
18F:→ deadwood: 还抱着不被扫到IP就扫不到port的心态也太天真了 09/18 11:21
19F:→ zbug: 只是给 a2764231 一点基础的观念,楼上可以分享你的高深建议 09/18 11:23
20F:→ deadwood: 重要的内部主机别直接对外,透过VPN才是比较安全的做法 09/18 11:23
21F:→ deadwood: 转port至少防火墙上面限制连线的来源IP才"稍微"安全点 09/18 11:26
22F:推 a2764231: 谢谢大家己收到,那想在询问一下若使用SFTP要如何限制来 09/18 11:31
23F:→ a2764231: 源IP呢?,因为大家都用手机家里电也是浮动IP 09/18 11:32
24F:→ a2764231: 电脑 09/18 11:32
25F:→ deadwood: 限制IP当然就是只开给可信任的固定IP啊,要开给不特定IP 09/18 11:44
26F:推 a2764231: 自己目前的做法就是密码用复杂点加上synology内建的 09/18 11:45
27F:→ a2764231: https 09/18 11:45
28F:→ deadwood: 当然有其他方法来增加安全性 09/18 11:46
29F:→ a2764231: 了解只是目前这方式就有困难,公司的人都使用手机和自己 09/18 11:47
30F:→ a2764231: PC 09/18 11:47
31F:→ a2764231: 若有更好建议我会在试试谢谢大家 09/18 11:47
32F:→ deadwood: 例如加装IPS、server设定登入错误3次的IP就封锁之类的 09/18 11:48
33F:→ deadwood: 还有就是上面讲的VPN 09/18 11:49
34F:推 a2764231: 你说的在一定时间错三次锁IP目前群辉设备是有做的 09/18 11:49
35F:→ a2764231: 谢谢大家提供这麽多的方向,但买设备就较难上次中勒索 09/18 11:50
36F:→ a2764231: 老板觉得付钱东西也有回不来的机会,只能把机器重灌设定 09/18 11:51
37F:→ a2764231: 倒回去。 09/18 11:51
38F:→ deadwood: 另外还有端点防护软体也是 09/18 11:52
39F:→ a2764231: 端点防护刚去GOOGLE我想我找时机提一提看起来防勒索好 09/18 11:54
40F:→ a2764231: 像很厉害,那不晓得大家都用那家的呢? 09/18 11:54
41F:→ deadwood: 去查一下"纵深防御"吧..老话一句重要主机就不该直接对外 09/18 11:56
42F:→ deadwood: 如果针对勒索软体对策的话,先做好多个离线备份吧XD 09/18 11:58
43F:→ deadwood: 看你的资料多重要就多做几份 09/18 11:58
44F:推 a2764231: 好的等等来去GOOGLE但有时主机仍有不得不对外状况但您及 09/18 11:58
45F:→ a2764231: 其它大大提供的方式真的是很受用的方式谢谢。 09/18 11:59
46F:→ deadwood: 另外勒索软体大多是内部的人带进来的(钓鱼、恶意网站) 09/18 11:59
47F:→ deadwood: 所以单讨论如何防止外部攻击效果有限 09/18 11:59
48F:→ a2764231: 目前备份就是先使用软体做一全机离线备份 09/18 12:00
49F:→ a2764231: 其它在使用同步备份定期每周备一份到离线外接硬碟 09/18 12:00
50F:→ a2764231: 在使用server image backup每天定时做备份并只留存31份 09/18 12:01
51F:→ a2764231: 其它就定期步到NAS NAS也在做离线全机备份 09/18 12:02
52F:→ a2764231: 也是因为有上次中勒索的改进 09/18 12:02
53F:→ deadwood: 反正你们也买了fortigate 60E,乾脆就把client vpn建好 09/18 12:17
54F:→ deadwood: 以後SFTP这一类存取内部资料的服务就先连VPN再去连 09/18 12:19
55F:推 a2764231: 只有30E啦,这部份应该是也只有一些USER会用 09/18 12:20
56F:→ deadwood: 确认VPN运作OK後,就可以防火墙上面的转port都拿掉了 09/18 12:20
57F:→ a2764231: 若这一部份目前也只会开头大大的连进来用微软远端桌面 09/18 12:20
58F:→ a2764231: 但大概也只有少数会用连进来工作这样而己 09/18 12:21
59F:→ a2764231: 至於SFTP要使用者换个习惯又没有老板大力相挺目前真的难 09/18 12:22
60F:→ a2764231: 但刚您和其它大大提供的建议真的很有用也谢谢大家 09/18 12:23
61F:→ a2764231: 刚也有去看您提的纵深防御看起来不错,但要钱就只能找时 09/18 12:24
62F:→ a2764231: 间提案看老板买不买 09/18 12:25
63F:→ a2764231: 这层层的防御方式也是很棒的构思 09/18 12:25
64F:→ deadwood: 概念毕竟只是概念,实际上通常钱是最大的问题 09/18 13:20
65F:→ deadwood: 不过就算预算有限,没办法做到多层,至少也要减少被攻击 09/18 13:21
66F:→ deadwood: 的机会,移除不必要对外的服务就是一个基本做法 09/18 13:25
67F:推 a2764231: 哈哈您说的没有错所以自己会想说多了解其它人的做法当参 09/18 13:35
68F:→ a2764231: 考至少在没有经下把能做的先都做好,其它的看时间提案 09/18 13:35
69F:→ a2764231: 若可被接受就有新设备保护就一步一步来 09/18 13:36
70F:→ a2764231: 经费 09/18 13:37
71F:推 trumpete: 开3389port 的 可以去系统管理员 看一下 security log 09/18 16:48
72F:→ trumpete: 很精彩的~ 09/18 16:48
73F:→ fonzae: 增加CA凭证才可拨接VPN成功,个人是这样操作 09/18 20:30
74F:→ fonzae: win remote改port比较好,很多都是走预设,容易被猜中 09/18 20:31
75F:→ fonzae: 个人建议走VPN就好,只需针对开启的port去监管就好了 09/18 20:32
76F:推 lusaka: 先设定好防火墙的policy 吧 09/18 23:24
77F:推 kenwufederer: VPN加两步骤验证再开始做其他事情 09/19 12:22
78F:→ kenwufederer: SSH跟RDP永远不要直接对外,不要当第一层验证 09/19 12:22
79F:→ hhyu0627: VDI还不错用,透过80/443 port就可以连了,安全又简单 09/22 18:02