作者hivenson (小洪)
標題Re: [請益] 從外面要如何連公司的電腦
時間Tue Sep 17 21:41:28 2019
※ 引述《qw5526259 (B.K)》之銘言:
: 從外面要如何連公司的電腦
: 有時公司電腦server出問題了,
: 人在家裡,
: 要如何連線
: 安全性比較高呢?
: 目前我只會用teamviewer
: 有其他好的方式嗎?
我是利用VPN與公司網路連接
然後利用遠端桌面登入
這樣安全些
也可以避免外部電腦利用3389攻擊主機
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.235.17.214 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1568727690.A.6F8.html
1F:→ zbug: 轉Port,對外不要用3389就好,防火牆也要關掉一些會被Ping 09/18 07:29
2F:→ zbug: 的選項,減少被掃到IP,沒被掃到IP就不會被掃Port,又轉Port 09/18 07:30
3F:→ zbug: 的可以減少很多不必要問題 09/18 07:31
4F:推 a2764231: 請問您所說的轉PORT是指將本機的PORT使用登錄檔改成不同 09/18 08:30
5F:→ a2764231: 的PORT嗎?還是說指防火牆中的PORT換不同的數字呢?? 09/18 08:30
6F:→ a2764231: 若是防火牆若您有空可否詳細講解呢?有GOOGLE過皆是跑 09/18 08:32
7F:→ a2764231: Port Forwarding還是這就是您所說的轉PORT那我在去仔細 09/18 08:33
8F:→ a2764231: 看文章謝謝你了 09/18 08:33
9F:推 a2764231: 剛看完文章的理解是將防火牆的如3745(對外)->3389(遠端) 09/18 08:41
10F:→ a2764231: 3745也可改成不同數字這樣不曉得是否就是您所說的轉PORT 09/18 08:43
11F:→ zbug: 都可以,基本上我不喜歡改Local的Port,比較喜歡改防火牆的 09/18 09:12
12F:→ zbug: ,方便在於...隨時改一下防火牆就可以換Port 09/18 09:14
13F:→ lusaka: 你們家如果有防火牆,這件事情很好解決 09/18 09:46
14F:推 a2764231: 了解謝謝你又學到一些東西以前一直以為只能3389->3389 09/18 09:53
15F:→ zbug: 像 443 80 這些 Port 也很容易被掃(攻擊),都可以轉... 09/18 11:14
16F:→ zbug: 還有 SQL 的 1433 Port 也都要轉掉,如果DB主機有對外 = =a 09/18 11:15
17F:→ deadwood: 轉port早就不夠安全了,現在每天網路上成千上萬bot在掃 09/18 11:20
18F:→ deadwood: 還抱著不被掃到IP就掃不到port的心態也太天真了 09/18 11:21
19F:→ zbug: 只是給 a2764231 一點基礎的觀念,樓上可以分享你的高深建議 09/18 11:23
20F:→ deadwood: 重要的內部主機別直接對外,透過VPN才是比較安全的做法 09/18 11:23
21F:→ deadwood: 轉port至少防火牆上面限制連線的來源IP才"稍微"安全點 09/18 11:26
22F:推 a2764231: 謝謝大家己收到,那想在詢問一下若使用SFTP要如何限制來 09/18 11:31
23F:→ a2764231: 源IP呢?,因為大家都用手機家裡電也是浮動IP 09/18 11:32
24F:→ a2764231: 電腦 09/18 11:32
25F:→ deadwood: 限制IP當然就是只開給可信任的固定IP啊,要開給不特定IP 09/18 11:44
26F:推 a2764231: 自己目前的做法就是密碼用複雜點加上synology內建的 09/18 11:45
27F:→ a2764231: https 09/18 11:45
28F:→ deadwood: 當然有其他方法來增加安全性 09/18 11:46
29F:→ a2764231: 了解只是目前這方式就有困難,公司的人都使用手機和自己 09/18 11:47
30F:→ a2764231: PC 09/18 11:47
31F:→ a2764231: 若有更好建議我會在試試謝謝大家 09/18 11:47
32F:→ deadwood: 例如加裝IPS、server設定登入錯誤3次的IP就封鎖之類的 09/18 11:48
33F:→ deadwood: 還有就是上面講的VPN 09/18 11:49
34F:推 a2764231: 你說的在一定時間錯三次鎖IP目前群輝設備是有做的 09/18 11:49
35F:→ a2764231: 謝謝大家提供這麼多的方向,但買設備就較難上次中勒索 09/18 11:50
36F:→ a2764231: 老板覺得付錢東西也有回不來的機會,只能把機器重灌設定 09/18 11:51
37F:→ a2764231: 倒回去。 09/18 11:51
38F:→ deadwood: 另外還有端點防護軟體也是 09/18 11:52
39F:→ a2764231: 端點防護剛去GOOGLE我想我找時機提一提看起來防勒索好 09/18 11:54
40F:→ a2764231: 像很厲害,那不曉得大家都用那家的呢? 09/18 11:54
41F:→ deadwood: 去查一下"縱深防禦"吧..老話一句重要主機就不該直接對外 09/18 11:56
42F:→ deadwood: 如果針對勒索軟體對策的話,先做好多個離線備份吧XD 09/18 11:58
43F:→ deadwood: 看你的資料多重要就多做幾份 09/18 11:58
44F:推 a2764231: 好的等等來去GOOGLE但有時主機仍有不得不對外狀況但您及 09/18 11:58
45F:→ a2764231: 其它大大提供的方式真的是很受用的方式謝謝。 09/18 11:59
46F:→ deadwood: 另外勒索軟體大多是內部的人帶進來的(釣魚、惡意網站) 09/18 11:59
47F:→ deadwood: 所以單討論如何防止外部攻擊效果有限 09/18 11:59
48F:→ a2764231: 目前備份就是先使用軟體做一全機離線備份 09/18 12:00
49F:→ a2764231: 其它在使用同步備份定期每周備一份到離線外接硬碟 09/18 12:00
50F:→ a2764231: 在使用server image backup每天定時做備份並只留存31份 09/18 12:01
51F:→ a2764231: 其它就定期步到NAS NAS也在做離線全機備份 09/18 12:02
52F:→ a2764231: 也是因為有上次中勒索的改進 09/18 12:02
53F:→ deadwood: 反正你們也買了fortigate 60E,乾脆就把client vpn建好 09/18 12:17
54F:→ deadwood: 以後SFTP這一類存取內部資料的服務就先連VPN再去連 09/18 12:19
55F:推 a2764231: 只有30E啦,這部份應該是也只有一些USER會用 09/18 12:20
56F:→ deadwood: 確認VPN運作OK後,就可以防火牆上面的轉port都拿掉了 09/18 12:20
57F:→ a2764231: 若這一部份目前也只會開頭大大的連進來用微軟遠端桌面 09/18 12:20
58F:→ a2764231: 但大概也只有少數會用連進來工作這樣而己 09/18 12:21
59F:→ a2764231: 至於SFTP要使用者換個習慣又沒有老板大力相挺目前真的難 09/18 12:22
60F:→ a2764231: 但剛您和其它大大提供的建議真的很有用也謝謝大家 09/18 12:23
61F:→ a2764231: 剛也有去看您提的縱深防禦看起來不錯,但要錢就只能找時 09/18 12:24
62F:→ a2764231: 間提案看老板買不買 09/18 12:25
63F:→ a2764231: 這層層的防御方式也是很棒的構思 09/18 12:25
64F:→ deadwood: 概念畢竟只是概念,實際上通常錢是最大的問題 09/18 13:20
65F:→ deadwood: 不過就算預算有限,沒辦法做到多層,至少也要減少被攻擊 09/18 13:21
66F:→ deadwood: 的機會,移除不必要對外的服務就是一個基本做法 09/18 13:25
67F:推 a2764231: 哈哈您說的沒有錯所以自己會想說多了解其它人的做法當參 09/18 13:35
68F:→ a2764231: 考至少在沒有經下把能做的先都做好,其它的看時間提案 09/18 13:35
69F:→ a2764231: 若可被接受就有新設備保護就一步一步來 09/18 13:36
70F:→ a2764231: 經費 09/18 13:37
71F:推 trumpete: 開3389port 的 可以去系統管理員 看一下 security log 09/18 16:48
72F:→ trumpete: 很精彩的~ 09/18 16:48
73F:→ fonzae: 增加CA憑證才可撥接VPN成功,個人是這樣操作 09/18 20:30
74F:→ fonzae: win remote改port比較好,很多都是走預設,容易被猜中 09/18 20:31
75F:→ fonzae: 個人建議走VPN就好,只需針對開啟的port去監管就好了 09/18 20:32
76F:推 lusaka: 先設定好防火牆的policy 吧 09/18 23:24
77F:推 kenwufederer: VPN加兩步驟驗證再開始做其他事情 09/19 12:22
78F:→ kenwufederer: SSH跟RDP永遠不要直接對外,不要當第一層驗證 09/19 12:22
79F:→ hhyu0627: VDI還不錯用,透過80/443 port就可以連了,安全又簡單 09/22 18:02