今天刚打算把公司(国企)的办公电脑使用 RDP+FRP 内网穿透出去, 方便回家办公, 就看到了这个贴子 /t/692012 , 瑟瑟发抖, 遂放弃公司电脑内网穿透的想法, 但是偶尔也有远程控制家中电脑的需求, 于是求一个较为安全的解决方案.
我记得 FRP 支持 STCP 和口令, 是否足够安全?
RDP 有没有类似于 Linux SSH 的 RSA 密钥对认证方式并禁用密码登录? 目前我在局域网内登录 RDP 的方式是通过微软账号.
还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢...
另外由于经常更换地点, 所以不考虑 IP 白名单访问的方式.
最后心疼一波 teamviewer, 公司规定办公电脑只能用向日葵远程并 url 过滤了 teamviewer, 一问信息安全中心果然是之前那件破事...
1
chuckzhou 2020-07-22 14:39:53 +08:00
用 SSH 开一个 SOCKS5,然后用 MultiDesk 连接 RDP,这个软件支持 SOCKS5 代理。
|
2
xcodeghost 2020-07-22 14:40:44 +08:00 3
既然在国企,建议向 IT 申请合法的方式,如果不批,建议放弃吧。
|
3
lwp2070809 OP @chuckzhou #1 谢谢, 我试用一下这个软件
|
4
lwp2070809 OP @xcodeghost #2 我已经放弃了内网穿透公司电脑的想法, 老老实实用公司规定的向日葵了, 现在是想考虑内网穿透家里电脑的方案.
|
5
wangxiaoaer 2020-07-22 14:49:28 +08:00
一直用 Teamview,没啥问题啊。
|
6
lwp2070809 OP @wangxiaoaer #5 在我这边可能是由于地区或者运营商的问题, teamviewer 非常的卡, fr 穿透就很流畅, 但是今天看到 v 站的贴子吓得我马上把家里电脑的 frp 给关了
|
7
CallMeReznov 2020-07-22 14:58:45 +08:00
不懂就问,我在用的 SAKURAFRP 里面为什么没有这个模式呢?
|
8
yujiang 2020-07-22 14:59:53 +08:00
可以用下蒲公英,P2P 模式还是挺快的
|
9
zmj1316 2020-07-22 15:25:07 +08:00 via Android
ms 的 rdp 自带一个 gate 功能吧
|
10
hiplon 2020-07-22 15:29:44 +08:00
试试 Apache Guacamole ?
|
11
joesonw 2020-07-22 15:35:17 +08:00
用 wireguard 建立对等连接后, 再 rdp?
|
12
kenshin912 2020-07-22 15:36:21 +08:00
我之前的解决方案是 NAT 出去的 , 不过工作时间只允许内网地址连接 3389 , 其他时间允许任意地址连接 3389 , 不过非工作时间默认是关机状态 , 需要先唤醒电脑再连接.
唤醒是通过映射一台服务器的 UDP 9 端口出去做的. 机器需要 MAC 地址绑定. 否则可能唤醒失败. |
13
Phant0m 2020-07-22 15:37:35 +08:00 via iPhone
fwknop 了解一下( port knocking ), 默认开起五分钟,已经链接上的不会被断开,五分钟后自动删除防火窗规则。
|
14
robertluo11 2020-07-22 15:46:12 +08:00
我公司产品,remote express
|
15
toou123 2020-07-22 15:47:09 +08:00
自建 frps,用的时候开端口,不用了把端口关掉……
|
16
robertluo11 2020-07-22 15:48:20 +08:00
|
17
009694 2020-07-22 15:50:10 +08:00
自带穿透的远程桌面:teamview 向日葵
虚拟局域网:zerotier-one openvpn tinc Nebula |
18
cjpjxjx 2020-07-22 15:52:25 +08:00
贴子说的不是因为服务器数据库密码太简单导致的吗,这和 frp 有什么关系
|
19
jfdnet 2020-07-22 16:04:12 +08:00
我用 zerotier 现在也挺快的了。
|
20
shoreywong 2020-07-22 16:29:19 +08:00 via iPhone
@cjpjxjx #18 对 我是因为 3306
|
21
sikeerwei 2020-07-22 16:30:11 +08:00
就用向日葵呗,向日葵也挺快的
|
22
privil 2020-07-22 17:01:11 +08:00
stcp 外加加密已经足够安全了。
|
23
lwp2070809 OP @yujiang #8 之前贴子里面有 SAKURAFRP 前站长可以问问
|
24
lwp2070809 OP |
25
lwp2070809 OP 感谢诸位回复, 我会逐一尝试这些方案的
|
26
hoyixi 2020-07-22 17:07:56 +08:00
回家办公是加班吗? 何苦呢
|
27
yujiang 2020-07-22 17:34:59 +08:00
@lwp2070809 回错人了
|
28
ysc3839 2020-07-22 17:49:48 +08:00 via Android
rdp 协议本身有 TLS 加密,记一下家里电脑中证书的指纹,连接时确认一致即可确保安全。
|
29
openbsd 2020-07-22 17:53:22 +08:00
为什么不 VPN ?
|
30
xupefei 2020-07-22 17:55:56 +08:00 via iPhone
用 ssh 隧道或 vpn 呗。用一些五花八门的没经过安全审计的方式不害怕吗?
|
31
mxalbert1996 2020-07-22 18:00:13 +08:00 via Android
|
32
muskill 2020-07-22 18:01:14 +08:00
那个跟 frp 关系不大啊,自己通过 frp 将数据库的端口映射出去,密码设置还那么简单,这能怪谁....
|
33
tanghongkai 2020-07-22 18:05:14 +08:00
@lwp2070809 规定向日葵就向日葵咯,又不是不能用
|
34
FlintyLemming 2020-07-22 18:07:08 +08:00
个人觉得,是否配置 rdp 连接证明书的重要性可能更大
|
35
qwerz 2020-07-22 18:11:40 +08:00
ssh 隧道+ssh 证书登录+ssh 随机高端口
|
36
d5 2020-07-22 19:06:21 +08:00
国企都有自己的 vpn 硬件吧,别自己瞎搞
|
37
m2276699 2020-07-22 19:11:57 +08:00
frp 的 stcp 可解决,需要密钥才能互访
|
38
sidkang 2020-07-22 21:03:34 +08:00
yep,stcp 模式即可
|
39
P0P 2020-07-22 21:26:59 +08:00
可以用 wireguard 组成私有局域网,所有内部服务都监听在 wireguard 网络上的端口,接入你的 wireguard 网络的机器之间可以互相无缝访问
|
40
HFX3389 2020-07-22 22:21:07 +08:00
frp 冤枉啊....自己仅仅是一个端口映射而已....
那个帖子是因为楼主自己把 3306 映射到外网又以弱密码作口令,不被黑我才觉得不正常 (之前好像 B 站有个 UP 主的 NAS 也是这样直接暴露在外网导致整个 NAS 还是整个内网都被勒索病毒加密了) 我现在用 frp 把 3389 映射到公网服务器的 20000 以上端口,每天看日志,啥问题都没有 |
41
JamesR 2020-07-22 23:35:24 +08:00
我直接 VPN 回家,啥事没有。
|
42
tinkerer 2020-07-22 23:36:14 +08:00
nebula
|
43
wxch111vv 2020-07-23 00:12:46 +08:00 via Android
家用宽带申请公网 ip 挂 openvpn 就行了
|
44
laminux29 2020-07-23 00:34:41 +08:00
题主还是没看懂那个帖子。
那个帖子,与 frp,与 3306 映射,毫无关系,而是与弱密码有关系。 使用弱密码,你的隧道方案再安全也没用。 我同事 16 位高度安全的混合密码,直接映射 Win 远程桌面 3306 到公网,十几年毛事没有。 |
45
zhhww57 2020-07-23 03:02:52 +08:00
我有个方案,可以不开放任何端口,但是有概率穿透不成功,用 softether 的 nat-t 穿透协议,记一下电脑的主机名,搬个 ddns,无需公网 ip,只需要取个奇葩点的主机名和 ddns
|
46
zhouzm 2020-07-23 07:32:33 +08:00
如果有服务器 ssh 权限的话,推荐使用 Jump Desktop,它支持通过 ssh 隧道访问局域网的 vnc 、rdp
|
47
tril 2020-07-23 09:04:10 +08:00
这种活交给 vpn,像 openvpn 可以下发自定义路由表,办公电脑 24 小时挂着都没事。
|
48
ruzztok 2020-07-23 09:17:17 +08:00
wireguard
|
49
kruskal 2020-07-23 09:46:15 +08:00
https://github.com/DigitalRuby/IPBan/releases
配置好 IPBAN 防暴力破解 |
50
P0P 2020-07-23 10:31:00 +08:00
直接对公网暴露任何端口都是不安全的,无所谓是 3306 还是 3389 还是 22,你怎么能确保这个 server 软件没有漏洞呢?像 rdp 的 0-day 之前又不是没有过,有这些漏洞的时候就跟你的密码和验证方式无关了,直接用漏洞就能穿透 server 远程执行命令。要想安全,还是要最小化暴露面,vpn 虚拟网肯定是较优的方案。
|
51
youyoumarco 2020-07-23 10:36:03 +08:00
国企还是老老实实找 IT 解决吧
|
52
leapV3 2020-07-23 10:49:00 +08:00
端口扫描+暴力穷举
只要你开放公网,就会有人扫描;万一爆破了,责任全在你身上 |
53
lewis89 2020-07-23 10:56:50 +08:00
openvpn + 路由表 一直都是这种方法..
|
54
lewis89 2020-07-23 10:59:16 +08:00
@leapV3 直接放公网是真的傻,不管你密码多复杂,绝对有人愿意爆破你的,我之前路由器 22 在外网 每天几十万次的爆破,吓得宝宝立马放进内网,用 openvpn 回家了
|
55
takemeaway 2020-07-23 11:04:17 +08:00
老老实实用 QQ 远程桌面吧。
教你自动化操作:申请一个新 QQ 只加你自己,远程电脑上登录好,编写一个脚本自动接受远程桌面请求。是不是很爽~ 哈哈 |
56
ulpyxua 2020-07-23 11:25:07 +08:00
QQ 远程不行,QQ 的很多遇到权限的界面无法操作。
|
57
secaas 2020-07-23 11:32:26 +08:00
还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢...
---------- 先问是不是,再问为什么。不知道收到多少起客户因为把 windows 映射到公网然后被勒索的案例了; 如果真的是刚需,可以去马云家搜索:向日葵 无网远程 目前来看还是比较安全的,除非向日葵 server 被爆了就没办法了 |
58
monkey110 2020-07-23 16:43:25 +08:00
照用 frp 就行 我的办法是平时 teamview 常驻 用的时候启动 frp 内网穿透 3389 不用的时候就关掉 frp 简单安全
|
59
284716337 2020-07-23 18:23:20 +08:00
公司的 vpn
|
60
ChangHaoWei 2020-08-21 16:35:23 +08:00
ssh 端口转发不香吗?
|