作者ifooleru (i服了u)
看板Network
标题从外部透过port直接连内网RDP的安全性?
时间Mon Aug 24 08:04:20 2020
是这样的 想到一个方法从网际网路来连接家里内部的RDP桌面
假设好了
我家的公共ip(在防火墙)是1.1.1.1然後指定它的port号12345去转换到内部一台电脑的windows RDP桌面192.168.1.1:3389
这样就能从外面网际网路直接开RDP去连1.1.1.1:12345输入帐密就存取我的远端桌面
那问题来了
这时的存取安全性好像就只在输入windows帐密这里…除此之外好像没别的方法可以提高安全性?
锁定外部可存取IP吗?限制尝试连线次数?
用我说的这种方法连内网的桌面有什麽方法还能提高安全性呢
-----
Sent from JPTT on my Samsung SM-G973F.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 27.52.28.52 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1598227462.A.5A6.html
1F:→ deadwood: 防火墙设定外部可存取IP是个不错的做法,也可以建VPN, 08/24 11:12
2F:→ deadwood: 不要直接用转port的方式对外提供连线 08/24 11:13
3F:→ deadwood: 如果防火墙功能可以支援,就是IP限制、VPN、失败次数限 08/24 11:15
4F:→ deadwood: 制都一起做吧 08/24 11:16
5F:推 birdy590: 直接对外开放是不得已才做的选择 限制存取IP未必可行 08/24 11:39
6F:→ birdy590: 最正规的解是 VPN, 但门槛就会拉比较高 08/24 11:39
7F:→ fonzae: 这要分两个层面来说,一个是网路 一个是系统 08/24 15:15
8F:→ fonzae: 网路开PORT就会有风险,被扫PORT就有机会渗透 08/24 15:15
9F:→ fonzae: 目前大多使用SSL VPN + CA,这是一个不错的方法 08/24 15:16
10F:→ fonzae: 若你的来源端是固定,也可以指定来源IP也是一种方法 08/24 15:17
11F:→ fonzae: 不过个人推崇用SSL VPN+CA,CA就自我建立一个 08/24 15:17
12F:→ fonzae: 只有汇入相同凭证的连线端方能进入 08/24 15:17
13F:→ fonzae: 至於系统部分,hotfix不可少,event log要多看 08/24 15:18
14F:→ fonzae: 在网路扫port,也能加入侦测机制,超过上限就一律封锁七天 08/24 15:19
15F:→ fonzae: 家用做到这样子,应该算不错了 08/24 15:20
16F:→ s801107: 前阵子rdp才有漏洞 09/16 23:56
17F:推 ptckimo: SSL VPN+CA,结案 09/29 19:51