※ 引述《qw5526259 (B.K)》之铭言:
: 从外面要如何连公司的电脑
: 有时公司电脑server出问题了,
: 人在家里,
: 要如何连线
: 安全性比较高呢?
: 目前我只会用teamviewer
: 有其他好的方式吗?
我是利用VPN与公司网络连接
然后利用远端桌面登入
这样安全些
也可以避免外部电脑利用3389攻击主机
作者:
zbug (瞌睡虫)
2019-09-18 07:29:00转Port,对外不要用3389就好,防火墙也要关掉一些会被Ping的选项,减少被扫到IP,没被扫到IP就不会被扫Port,又转Port的可以减少很多不必要问题
作者:
a2764231 (今天得月亮好大)
2019-09-18 08:30:00请问您所说的转PORT是指将本机的PORT使用登录档改成不同的PORT吗?还是说指防火墙中的PORT换不同的数字呢??若是防火墙若您有空可否详细讲解呢?有GOOGLE过皆是跑Port Forwarding还是这就是您所说的转PORT那我在去仔细看文章谢谢你了刚看完文章的理解是将防火墙的如3745(对外)->3389(远端)3745也可改成不同数字这样不晓得是否就是您所说的转PORT
作者:
zbug (瞌睡虫)
2019-09-18 09:12:00都可以,基本上我不喜欢改Local的Port,比较喜欢改防火墙的,方便在于...随时改一下防火墙就可以换Port
作者:
lusaka (gary.lusifa)
2019-09-18 09:46:00你们家如果有防火墙,这件事情很好解决
作者:
a2764231 (今天得月亮好大)
2019-09-18 09:53:00了解谢谢你又学到一些东西以前一直以为只能3389->3389
作者:
zbug (瞌睡虫)
2019-09-18 11:14:00像 443 80 这些 Port 也很容易被扫(攻击),都可以转...还有 SQL 的 1433 Port 也都要转掉,如果DB主机有对外 = =a
转port早就不够安全了,现在每天网络上成千上万bot在扫还抱着不被扫到IP就扫不到port的心态也太天真了
作者:
zbug (瞌睡虫)
2019-09-18 11:23:00只是给 a2764231 一点基础的观念,楼上可以分享你的高深建议
重要的内部主机别直接对外,透过VPN才是比较安全的做法转port至少防火墙上面限制连线的来源IP才"稍微"安全点
作者:
a2764231 (今天得月亮好大)
2019-09-18 11:31:00谢谢大家己收到,那想在询问一下若使用SFTP要如何限制来源IP呢?,因为大家都用手机家里电也是浮动IP电脑
限制IP当然就是只开给可信任的固定IP啊,要开给不特定IP
作者:
a2764231 (今天得月亮好大)
2019-09-18 11:45:00自己目前的做法就是密码用复杂点加上synology内建的https
作者:
a2764231 (今天得月亮好大)
2019-09-18 11:47:00了解只是目前这方式就有困难,公司的人都使用手机和自己PC若有更好建议我会在试试谢谢大家
例如加装IPS、server设定登入错误3次的IP就封锁之类的还有就是上面讲的VPN
作者:
a2764231 (今天得月亮好大)
2019-09-18 11:49:00你说的在一定时间错三次锁IP目前群辉设备是有做的谢谢大家提供这么多的方向,但买设备就较难上次中勒索老板觉得付钱东西也有回不来的机会,只能把机器重灌设定倒回去。
作者:
a2764231 (今天得月亮好大)
2019-09-18 11:54:00端点防护刚去GOOGLE我想我找时机提一提看起来防勒索好像很厉害,那不晓得大家都用那家的呢?
去查一下"纵深防御"吧..老话一句重要主机就不该直接对外如果针对勒索软件对策的话,先做好多个离线备份吧XD看你的资料多重要就多做几份
作者:
a2764231 (今天得月亮好大)
2019-09-18 11:58:00好的等等来去GOOGLE但有时主机仍有不得不对外状况但您及其它大大提供的方式真的是很受用的方式谢谢。
另外勒索软件大多是内部的人带进来的(钓鱼、恶意网站)所以单讨论如何防止外部攻击效果有限
作者:
a2764231 (今天得月亮好大)
2019-09-18 12:00:00目前备份就是先使用软件做一全机离线备份其它在使用同步备份定期每周备一份到离线外接硬盘在使用server image backup每天定时做备份并只留存31份其它就定期步到NAS NAS也在做离线全机备份也是因为有上次中勒索的改进
反正你们也买了fortigate 60E,干脆就把client vpn建好以后SFTP这一类存取内部资料的服务就先连VPN再去连
作者:
a2764231 (今天得月亮好大)
2019-09-18 12:20:00只有30E啦,这部份应该是也只有一些USER会用
确认VPN运作OK后,就可以防火墙上面的转port都拿掉了
概念毕竟只是概念,实际上通常钱是最大的问题不过就算预算有限,没办法做到多层,至少也要减少被攻击的机会,移除不必要对外的服务就是一个基本做法
作者:
a2764231 (今天得月亮好大)
2019-09-18 13:35:00哈哈您说的没有错所以自己会想说多了解其它人的做法当参考至少在没有经下把能做的先都做好,其它的看时间提案若可被接受就有新设备保护就一步一步来经费
开3389port 的 可以去系统管理员 看一下 security log很精彩的~
作者: fonzae (fonzae) 2019-09-18 20:30:00
增加CA凭证才可拨接VPN成功,个人是这样操作win remote改port比较好,很多都是走默认,容易被猜中个人建议走VPN就好,只需针对开启的port去监管就好了
作者:
lusaka (gary.lusifa)
2019-09-18 23:24:00先设定好防火墙的policy 吧
VPN加两步骤验证再开始做其他事情SSH跟RDP永远不要直接对外,不要当第一层验证
作者: hhyu0627 (Sean) 2019-09-22 18:02:00
VDI还不错用,透过80/443 port就可以连了,安全又简单