作者arsehole (又骑又磨姿势且佳)
看板Storage_Zone
标题Re: [请益] 外面的电脑可连回NAS看浏览器吗
时间Thu Jul 14 14:02:07 2022
※ 引述《a33935555 (心任)》之铭言:
: 标题: [请益] 外面的电脑可连回NAS看浏览器吗
: 时间: Mon Jul 11 15:02:31 2022
:
:
: 公司的电脑有管制不能连巴哈FB及游戏类的,
: 请问可以连回去NAS(Synology)再上网吗?
: 主要目的如下:
: 1、上网隐私不被安管知道
你的上网隐私是怎样的隐私法?
知道你上那网站?还是看你输入什麽搜寻什麽?
: 2、午休可以看巴哈,或上FB
以下是肥宅鲁蛇低薪鸟IT我的看法
先回答第一点,上网只能看你去哪,并不知道你看的内容
就像进去猴铁路,但知道你进大门口,但不知道你在几号房
更会不知道你输入什麽内容,连帐号密码都不知道了
而且知道你去那的前提是,必须有导入netflow或者是左岸隐私破坏者
深*服等系列产品,但据我所知,深*服在台湾颇少公司导入吧
第二点.午休时间看巴哈跟上FB,手机拿出来滑,应该没有人会怪你吧
都说是"午休时间了"
若要达成你说的功能以资讯从业者角度来看
你最少要过两关
第一个是电脑install权限,有规模的公司一定会导入AD
而大部分的权限必定是Domain users
(如果user都是Domain admin,请跟我讲,我要参观)
如果真的可以自由地在电脑安装软体
你第二关要遇到的是firewall,现在大部分防火墙都是次世代防火墙
既然都严苛到锁特定url,没道理不锁application
https://upload.cc/i1/2022/07/14/iRCgNc.jpg
这个是我在公司做WFH 利用wireguard连回家的服务器的测试
就算改了port 防火墙还是抓得出来他是那一只application
何况wireguard属於比较新的vpn协定了,其余的vpn更不用讲
: → MuiMui : 有内建VPN工具 07/11 15:03
: → MuiMui : https://tinyurl.com/bdfmjtej 07/11 15:06
: 推 stonys : 硬体够强,可以开VM远端连回NAS的虚拟机上网 07/11 15:06
: → fujisawa : 如果你的公司没档 可以用Tailscale开Exit Nodes 07/11 15:28
这个必挡,大部分防火墙的设定应该是白名单设定
非名单内全部deny或drop
: → fujisawa : 优点是设定无脑又不用开Port 07/11 15:29
: 推 andy199113 : 可是网管还是知道你有连线行为阿 07/11 15:57
: → tomsawyer : 同楼上 看影片类且单一vpn节点很容易被抓流量 07/11 16:03
: → tomsawyer : 很白痴的想绕过网管的想法lol 07/11 16:03
绕过去请找yoyo叔
: 推 balius : 用自己手机的行动网路吧,用公司的除非你自己有权限 07/11 16:09
以上正解,最快就是掏自己的装置
: 嘘 B0988698088 : 都买s了不会去他官网查vpn怎麽设定喔?不过反正你 07/11 17:31
: → B0988698088 : 设定了迟早也是被锁跟约谈 07/11 17:31
第一关就过不去了,约谈的机率不会有
: → asdasd70294 : 也可以家里电脑开着,用AnyDesk 之类的远端桌面连回 07/11 17:58
: → asdasd70294 : 家,也不用vpn那麽麻烦,流量的话就不知道有没有比 07/11 17:58
: → asdasd70294 : 较少就是了 07/11 17:58
能锁到这等级,远端遥控软体不会锁也不可能
: → labbat : MIS都看得一清二楚,到时候被请去喝咖啡谈谈 07/11 18:22
老实讲我懒得看,工作都做不完了,还看这个
: 推 p72910 : 最近在fb的nas社群看到有人分享vpn要开在router比在 07/11 18:46
: → p72910 : nas安全 07/11 18:46
: → a33935555 : 看了大家的意见,我还是用手机上巴哈跟PTT,不然功 07/11 20:01
: → a33935555 : 力太弱,可能用不到一天就被叫去了 07/11 20:01
: 推 sskyis : 公司内都用GCP开虚拟机 07/11 21:18
这是一个方法,费用有点高啊
: 推 ian41360 : 如果你真的可以装VPN 07/11 21:50
: → ian41360 : 建议装anydesk或chrome remote比较方便,至少是连 07/11 21:50
: → ian41360 : 回google伺服器,不是连回你家IP,或许流量不大IT 07/11 21:50
: → ian41360 : 不会约谈你 07/11 21:50
必挡
: 推 hollen9 : Docker 装 Firefox+VNC 的 Image 07/11 22:29
VNC绝对会被防火墙辨识出来
: → hollen9 : 不过VNC流量很大就是 07/11 22:30
: → justice2008 : 我都远端连回家发ptt废文 就是怕被抓包上班的时候在 07/11 22:46
: → justice2008 : 发推文 07/11 22:47
: 推 Baternest : 手机USB数据分享 反正是吃到饱 07/11 23:23
: 推 cs8425 : SSH Tunnel或者自己写一套类似的花不了多少时间 07/12 00:31
: → cs8425 : 要伪装成连到多的IP最後再走同一个IP出去 需要多花 07/12 00:35
: → cs8425 : 点力气就是(先确定出事不会找你算帐 07/12 00:35
ssh Tunnel 有点难度啊,而且你走的是443还是22?
: → glen246 : 有些公司直接写明禁用非公司核准的开源or付费软体, 07/12 03:16
: → glen246 : USB、外网全锁、监控、敏感资料侦测、资产软体装好 07/12 03:16
: → glen246 : 装满,一旦被判定非法,轻者被叫去约谈,重者就是 07/12 03:16
: → glen246 : 被公司汰除 07/12 03:16
之前朋友公司就是有某课长等级的用自己的私人笔电接节费电话的网路
用盗版的**软体被抓,直接发函给公司资讯单位
因为线路根本不是自己管辖的,经过清查,才查出来这条节费电话网路
挂在公司名下,也没有防火墙管理,听说赔了三十万左右,课长被降等减薪一年
考绩肯定不好看
: 推 x20165 : 下载tor看看 07/12 07:58
: → spfy : 比较简单的方式大概是额外弄一台私人装置然後用有 07/12 08:18
: → spfy : PIP功能的KVM(并没有 07/12 08:19
: → tomsawyer : 别闹了 看到.onion还不直接开除lol 07/12 08:33
: 推 amilkamilk : @p72910 想请问一下为什麽? 07/12 08:44
: 推 p72910 : 因为在nas端开vpn要port forwarding给路由器,但在r 07/12 08:53
: → p72910 : outer端不用 07/12 08:53
: → tomsawyer : 不只有forward的问题 如果不幸(不太可能)被恶意加 07/12 09:28
: → tomsawyer : 密的成本太昂贵 且router通常有提供相关服务 07/12 09:28
: 嘘 B0988698088 : nas就放资料的地方 废话你觉得开在router安全还是 07/12 11:18
: → B0988698088 : 直接一路开到nas安全? 07/12 11:18
老实讲,对我来说都是一样的
除非router买到商业等级的,否则消费等级的router漏洞不少
: 推 thatsocool : 直接买台平板用手机网路看吧... 07/12 13:20
: 推 lianpig5566 : 开在router或nas根本没啥差异 07/12 18:36
: → lianpig5566 : 你nas不开vpn 但webui一样开着还不是一样 07/12 18:36
: → lianpig5566 : 你开在router 被破之後进到内网还不是一样 07/12 18:37
: 推 lianpig5566 : 个人是比较推荐用chrome remote,VPN也很容易被抓到 07/12 18:39
: → lianpig5566 : VPN开在router比nas好的一点就是少一层forward,比 07/12 18:39
: → lianpig5566 : 较不会因为NAT而出现状况 07/12 18:39
: 推 changchichun: 不能说没差异唷,有的router 会有专门的VPN晶片 07/13 09:27
你说的应该是居*牌的吧,专精做VPN装置的
: → changchichun: 比起用NAS那开个管理界面就喘到不行的CPU, 在VPN效 07/13 09:28
: → changchichun: 能上应该会有不少差距 07/13 09:28
: → fujisawa : VPN会需要什麽专用晶片?XD 买x86 CPU的 效能绝对屌 07/13 11:12
: → fujisawa : 打一般的品牌Router方案 07/13 11:14
: 推 chang0206 : 没错,X86的router 肯定海放一般router 07/13 11:39
: → chang0206 : 不过,台湾应该不太好买到这种类型的软路由? 07/13 11:40
: → fujisawa : x86 CPU是指NAS啦 没说清楚 07/13 12:20
: 推 p72910 : ._./ 我router高通四核心可以吗 ? 07/13 14:39
其实讨论晶片没啥太大意义,因为你只有一个人在使用
品牌nasCPU在怎惨,都足够用
: 推 lwrwang : VPN呀 07/13 18:49
: 推 s78513221 : 然後这些资安妻管严的公司却整天出资安问题 07/14 07:33
嗯...如果你家里有Web server、APP Server、金流、网购、发票平台
Mail Server DB Server 等对外服务,加上上百人在使用电脑,各业务职掌不同
每个人上网需求不同,业务需求不同,再来跟我谈资安妻管严这个问题
好吧,如果真的真的想在午休时间让老板看到你没拿出手机滑
而是奋电脑疾键盘的用公司电脑办公,结果是在上巴哈等FB网站
谋取好的考绩,还有一个方法,请参考
https://www.kasmweb.com/docs/latest/_images/single_install2.png
Kasm server
https://www.kasmweb.com/docs/latest/install/single_server_install.html#installation-guide
M01也有人介绍
【Kasm】 零信任安全上网工具 抛弃式浏览器、Linux桌面
https://www.mobile01.com/topicdetail.php?f=508&t=6573952
可以自己在家里架,防火墙只能看到ssl出去
如果目的地是台湾,更不容易被抓
另外一种是去买虚拟机来放
--
1F:推 Cubelia : 看中国有上网行为管理器这东东 07/14 14:39
※ 编辑: arsehole (125.230.209.119 台湾), 07/14/2022 14:48:52
2F:推 Litfal : 还是监测的到对Kasm server的异常流量吧 07/14 15:01
想抓还是可以抓,但ssl连线,然後dst是台湾
没花时间去捞的话,很难抓,再加上流量不大的话
3F:推 wei115 : 想问一下 openvpn走443 防火墙能挡住吗? 07/14 15:48
4F:→ HamalAri : ovpn 的 tls 长的和 https 不一样喔 07/14 16:50
5F:→ HamalAri : 没有挡不挡得住这回事, 只有想不想挡 07/14 16:51
6F:→ HamalAri : 很多单位都有买可以 mitm 的设备 07/14 16:52
简单来讲,左岸长城能挡掉的,一般次世代防火墙也能挡掉
就翻墙功力,我们绝对输左岸墙国他们
7F:推 sdbb : 感谢优文 07/14 17:07
8F:推 mrme945 : 所以最直接的解法就是连手机网路对吧? 07/14 17:20
最简单解法就是拿自己的装置来用啊
除非电脑没锁定usb、蓝芽、wifi
让你可以用手机分享网路,不过嘛
这个是重大资安违规的说
※ 编辑: arsehole (125.230.209.119 台湾), 07/14/2022 17:48:27
9F:推 sammylee : Domail?? 是Domain吧 07/14 19:14
哈哈哈啊 我真的打错了 感谢你提醒
10F:推 twerik : 家中918+架虚拟机,再从公司用443或80port连回家中D 07/14 19:48
11F:→ twerik : SM开虚拟机上网,但是速度很慢 07/14 19:48
12F:→ cs8425 : 443 port的ssh tunnel硬要抓还是抓的出来啦 07/14 22:14
13F:→ cs8425 : 自写的部份 我是说装成ws/http那堆 就怕直接白名单 07/14 22:14
14F:推 Litfal : 直接用手机啦 不是要你用手机分享网路给电脑 这是 07/14 23:40
15F:→ Litfal : 在大部分公司都是重大违规喔 07/14 23:40
16F:推 jhangyu : 中国那边的ShadowsocksR你们挡的掉吗? 07/15 00:30
你要看是怎样的规模,如果是左岸防火墙数以千万计等级的在上网
只能靠特徵去阻挡,如果是肥宅鲁蛇两百多台电脑使用数量
看流量异常就知道就能挡了
17F:推 labbat : 有个鬼故事是老板觉得资安都很闲,然後资遣整批人 07/15 02:15
这种要嘛就是公司规模不算大,对外服务也不多,养人不如外包给SI
只要出一次资安事件,基本上就会乖乖的花钱或养人了
18F:→ tomsawyer : SSr跟V2ray也有http伪装的ssl封包吧 不知道有没有 07/15 08:25
19F:→ tomsawyer : 效就是 但单节点大流量就是自杀 谁家没有netflow的 07/15 08:25
不少公司也没买netflow啦,只看防火墙产出的report
不然就是资讯人员自己架一个open source 的netflow
然後离职就没人会使用了
20F:→ tomsawyer : 话说user权限会阻挡rndis的自动设定吗 07/15 08:28
你可以试试看啊,通常要如果要安装手机的驱动,应该都一律无法安装
因为没权限
※ 编辑: arsehole (125.230.209.119 台湾), 07/15/2022 09:14:19
21F:推 changchichun: 黑,这个kasm蛮有趣的 有点类似VDI 或者是xenApp ? 07/15 09:32
我研究了一下,其实可以装在我家虚拟机试试看,假日花点时间来试装看看好了
然後在看公司防火墙怎判读这连线是什麽
※ 编辑: arsehole (125.230.209.119 台湾), 07/15/2022 10:07:08
22F:推 changchichun: 应该就看到是https吧 07/15 10:30
星期六花了一点时间把KASM装了起来
没有想像中的难
由於我是用家里的proxmox用lxc安装,会遇到一些小问题
不过问题不大,但要花一点时间
https://upload.cc/i1/2022/07/18/PLiMJf.jpg
https://upload.cc/i1/2022/07/18/rU298S.jpg
从家里的防火墙看对外连线,大概就这几个连线
https://upload.cc/i1/2022/07/18/MfFU38.jpg
本来想强迫他使用Adguard来筛掉一些广告
结果无用
播影片会吃频宽,吃的是双方的频宽
然後画面缩小的时候,youtube会停止播放
发现他只能使用两个小时,结果是我装错版本
重新装Community 版本就没这个问题了
https://upload.cc/i1/2022/07/18/SFeK3q.jpg
新版本的画面
https://upload.cc/i1/2022/07/18/My106X.jpg
看来问题应该是语系问题
明天从公司连看看就知道他怎跑了
※ 编辑: arsehole (125.231.153.178 台湾), 07/18/2022 00:17:45
23F:推 niverse : 推个 涨姿势 07/18 00:42
24F:推 changchichun: KASM最大的问题应该是输入中文是乱码吧 07/18 09:52
试完了
https://upload.cc/i1/2022/07/18/PY2u5W.jpg
防火墙解出来的确是443
参考kasm官方文件的安装,我装成其他的port
改成其他port会被防火墙deny,因为非443por在防火墙认定非标准的service
当然原po想要试试看也可以借用,要租用也不是不行..
※ 编辑: arsehole (125.230.209.119 台湾), 07/18/2022 23:43:14
25F:推 Jmoe : 好奇IT会将公司设备都mitm吗? 07/19 12:52
26F:→ cs8425 : 不一定 要MITM必须要先装凭证 除非程式本身就裸奔 07/19 19:58
27F:推 blueoick : Kasm 我有包好一个支援中文的chrome我有放在docker 07/29 15:02
28F:→ blueoick : hub上blueoick/ms-chrome,有需要的可以参考看看 07/29 15:02
29F:推 zxc56bn : 深*服真的是隐私破坏者,前一间公司有用过,虽然是 08/03 15:55
30F:→ zxc56bn : 旧版的,但大部分都还是看得出来。 08/03 15:55
31F:→ hungru : Kasm在Advanced Settings开IME Input Mode能打中文 08/15 11:00