作者ifooleru (i服了u)
看板Network
標題從外部透過port直接連內網RDP的安全性?
時間Mon Aug 24 08:04:20 2020
是這樣的 想到一個方法從網際網路來連接家裡內部的RDP桌面
假設好了
我家的公共ip(在防火牆)是1.1.1.1然後指定它的port號12345去轉換到內部一台電腦的windows RDP桌面192.168.1.1:3389
這樣就能從外面網際網路直接開RDP去連1.1.1.1:12345輸入帳密就存取我的遠端桌面
那問題來了
這時的存取安全性好像就只在輸入windows帳密這裏…除此之外好像沒別的方法可以提高安全性?
鎖定外部可存取IP嗎?限制嘗試連線次數?
用我說的這種方法連內網的桌面有什麼方法還能提高安全性呢
-----
Sent from JPTT on my Samsung SM-G973F.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.52.28.52 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Network/M.1598227462.A.5A6.html
1F:→ deadwood: 防火牆設定外部可存取IP是個不錯的做法,也可以建VPN, 08/24 11:12
2F:→ deadwood: 不要直接用轉port的方式對外提供連線 08/24 11:13
3F:→ deadwood: 如果防火牆功能可以支援,就是IP限制、VPN、失敗次數限 08/24 11:15
4F:→ deadwood: 制都一起做吧 08/24 11:16
5F:推 birdy590: 直接對外開放是不得已才做的選擇 限制存取IP未必可行 08/24 11:39
6F:→ birdy590: 最正規的解是 VPN, 但門檻就會拉比較高 08/24 11:39
7F:→ fonzae: 這要分兩個層面來說,一個是網路 一個是系統 08/24 15:15
8F:→ fonzae: 網路開PORT就會有風險,被掃PORT就有機會滲透 08/24 15:15
9F:→ fonzae: 目前大多使用SSL VPN + CA,這是一個不錯的方法 08/24 15:16
10F:→ fonzae: 若你的來源端是固定,也可以指定來源IP也是一種方法 08/24 15:17
11F:→ fonzae: 不過個人推崇用SSL VPN+CA,CA就自我建立一個 08/24 15:17
12F:→ fonzae: 只有匯入相同憑證的連線端方能進入 08/24 15:17
13F:→ fonzae: 至於系統部分,hotfix不可少,event log要多看 08/24 15:18
14F:→ fonzae: 在網路掃port,也能加入偵測機制,超過上限就一律封鎖七天 08/24 15:19
15F:→ fonzae: 家用做到這樣子,應該算不錯了 08/24 15:20
16F:→ s801107: 前陣子rdp才有漏洞 09/16 23:56
17F:推 ptckimo: SSL VPN+CA,結案 09/29 19:51