跳至主要內容
  • Hostloc 空間訪問刷分
  • 售賣場
  • 廣告位
  • 賣站?

4563博客

全新的繁體中文 WordPress 網站
  • 首頁
  • 求一个安全的 RDP 内网穿透方案
未分類
15 7 月 2020

求一个安全的 RDP 内网穿透方案

求一个安全的 RDP 内网穿透方案

資深大佬 : lwp2070809 16

今天刚打算把公司(国企)的办公电脑使用 RDP+FRP 内网穿透出去, 方便回家办公, 就看到了这个贴子 /t/692012 , 瑟瑟发抖, 遂放弃公司电脑内网穿透的想法, 但是偶尔也有远程控制家中电脑的需求, 于是求一个较为安全的解决方案.
我记得 FRP 支持 STCP 和口令, 是否足够安全?
RDP 有没有类似于 Linux SSH 的 RSA 密钥对认证方式并禁用密码登录? 目前我在局域网内登录 RDP 的方式是通过微软账号.
还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢…
另外由于经常更换地点, 所以不考虑 IP 白名单访问的方式.
最后心疼一波 teamviewer, 公司规定办公电脑只能用向日葵远程并 url 过滤了 teamviewer, 一问信息安全中心果然是之前那件破事…

大佬有話說 (59)

  • 資深大佬 : chuckzhou

    用 SSH 开一个 SOCKS5,然后用 MultiDesk 连接 RDP,这个软件支持 SOCKS5 代理。

  • 資深大佬 : xcodeghost

    既然在国企,建议向 IT 申请合法的方式,如果不批,建议放弃吧。

  • 主 資深大佬 : lwp2070809

    @chuckzhou #1 谢谢, 我试用一下这个软件

  • 主 資深大佬 : lwp2070809

    @xcodeghost #2 我已经放弃了内网穿透公司电脑的想法, 老老实实用公司规定的向日葵了, 现在是想考虑内网穿透家里电脑的方案.

  • 資深大佬 : wangxiaoaer

    一直用 Teamview,没啥问题啊。

  • 主 資深大佬 : lwp2070809

    @wangxiaoaer #5 在我这边可能是由于地区或者运营商的问题, teamviewer 非常的卡, fr 穿透就很流畅, 但是今天看到 v 站的贴子吓得我马上把家里电脑的 frp 给关了

  • 資深大佬 : CallMeReznov

    不懂就问,我在用的 SAKURAFRP 里面为什么没有这个模式呢?

  • 資深大佬 : yujiang

    可以用下蒲公英,P2P 模式还是挺快的

  • 資深大佬 : zmj1316

    ms 的 rdp 自带一个 gate 功能吧

  • 資深大佬 : hiplon

    试试 Apache Guacamole ?

  • 資深大佬 : joesonw

    用 wireguard 建立对等连接后, 再 rdp?

  • 資深大佬 : kenshin912

    我之前的解决方案是 NAT 出去的 , 不过工作时间只允许内网地址连接 3389 , 其他时间允许任意地址连接 3389 , 不过非工作时间默认是关机状态 , 需要先唤醒电脑再连接.
    唤醒是通过映射一台服务器的 UDP 9 端口出去做的. 机器需要 MAC 地址绑定. 否则可能唤醒失败.

  • 資深大佬 : Phant0m

    fwknop 了解一下( port knocking ), 默认开起五分钟,已经链接上的不会被断开,五分钟后自动删除防火窗规则。

  • 資深大佬 : robertluo11

    我公司产品,remote express

  • 資深大佬 : toou123

    自建 frps,用的时候开端口,不用了把端口关掉……

  • 資深大佬 : robertluo11

    http://www.kimleysoft.com/productd_RemoteExpress.html

  • 資深大佬 : 009694

    自带穿透的远程桌面:teamview 向日葵
    虚拟局域网:zerotier-one openvpn tinc Nebula

  • 資深大佬 : cjpjxjx

    贴子说的不是因为服务器数据库密码太简单导致的吗,这和 frp 有什么关系

  • 資深大佬 : jfdnet

    我用 zerotier 现在也挺快的了。

  • 資深大佬 : shoreywong

    @cjpjxjx #18 对 我是因为 3306

  • 資深大佬 : sikeerwei

    就用向日葵呗,向日葵也挺快的

  • 資深大佬 : privil

    stcp 外加加密已经足够安全了。

  • 主 資深大佬 : lwp2070809

    @yujiang #8 之前贴子里面有 SAKURAFRP 前站长可以问问

  • 主 資深大佬 : lwp2070809

    @cjpjxjx #18
    @shoreywong 20
    抱歉看走眼了, 我还以为是攻击者通过 frp 拿到服务器访问权限, 然后再攻击数据库的, 原来是直接穿透 3306 端口

  • 主 資深大佬 : lwp2070809

    感谢诸位回复, 我会逐一尝试这些方案的

  • 資深大佬 : hoyixi

    回家办公是加班吗? 何苦呢

  • 資深大佬 : yujiang

    @lwp2070809 回错人了

  • 資深大佬 : ysc3839

    rdp 协议本身有 TLS 加密,记一下家里电脑中证书的指纹,连接时确认一致即可确保安全。

  • 資深大佬 : openbsd

    为什么不 VPN ?

  • 資深大佬 : xupefei

    用 ssh 隧道或 vpn 呗。用一些五花八门的没经过安全审计的方式不害怕吗?

  • 資深大佬 : mxalbert1996

    https://www.v2ex.com/t/621442

  • 資深大佬 : muskill

    那个跟 frp 关系不大啊,自己通过 frp 将数据库的端口映射出去,密码设置还那么简单,这能怪谁….

  • 資深大佬 : tanghongkai

    @lwp2070809 规定向日葵就向日葵咯,又不是不能用

  • 資深大佬 : FlintyLemming

    个人觉得,是否配置 rdp 连接证明书的重要性可能更大

  • 資深大佬 : qwerz

    ssh 隧道+ssh 证书登录+ssh 随机高端口

  • 資深大佬 : d5

    国企都有自己的 vpn 硬件吧,别自己瞎搞

  • 資深大佬 : m2276699

    frp 的 stcp 可解决,需要密钥才能互访

  • 資深大佬 : sidkang

    yep,stcp 模式即可

  • 資深大佬 : P0P

    可以用 wireguard 组成私有局域网,所有内部服务都监听在 wireguard 网络上的端口,接入你的 wireguard 网络的机器之间可以互相无缝访问

  • 資深大佬 : HFX3389

    frp 冤枉啊….自己仅仅是一个端口映射而已….

    那个帖子是因为主自己把 3306 映射到外网又以弱密码作口令,不被黑我才觉得不正常

    (之前好像 B 站有个 UP 主的 NAS 也是这样直接暴露在外网导致整个 NAS 还是整个内网都被勒索病毒加密了)

    我现在用 frp 把 3389 映射到公网服务器的 20000 以上端口,每天看日志,啥问题都没有

  • 資深大佬 : JamesR

    我直接 VPN 回家,啥事没有。

  • 資深大佬 : tinkerer

    nebula

  • 資深大佬 : wxch111vv

    家用宽带申请公网 ip 挂 openvpn 就行了

  • 資深大佬 : laminux29

    题主还是没看懂那个帖子。

    那个帖子,与 frp,与 3306 映射,毫无关系,而是与弱密码有关系。

    使用弱密码,你的隧道方案再安全也没用。

    我同事 16 位高度安全的混合密码,直接映射 Win 远程桌面 3306 到公网,十几年毛事没有。

  • 資深大佬 : zhhww57

    我有个方案,可以不开放任何端口,但是有概率穿透不成功,用 softether 的 nat-t 穿透协议,记一下电脑的主机名,搬个 ddns,无需公网 ip,只需要取个奇葩点的主机名和 ddns

  • 資深大佬 : zhouzm

    如果有服务器 ssh 权限的话,推荐使用 Jump Desktop,它支持通过 ssh 隧道访问局域网的 vnc 、rdp

  • 資深大佬 : tril

    这种活交给 vpn,像 openvpn 可以下发自定义路由表,办公电脑 24 小时挂着都没事。

  • 資深大佬 : ruzztok

    wireguard

  • 資深大佬 : kruskal

    https://github.com/DigitalRuby/IPBan/releases
    配置好 IPBAN 防暴力破解

  • 資深大佬 : P0P

    直接对公网暴露任何端口都是不安全的,无所谓是 3306 还是 3389 还是 22,你怎么能确保这个 server 软件没有漏洞呢?像 rdp 的 0-day 之前又不是没有过,有这些漏洞的时候就跟你的密码和验证方式无关了,直接用漏洞就能穿透 server 远程执行命令。要想安全,还是要最小化暴露面,vpn 虚拟网肯定是较优的方案。

  • 資深大佬 : youyoumarco

    国企还是老老实实找 IT 解决吧

  • 資深大佬 : leapV3

    端口扫描+暴力穷举
    只要你开放公网,就会有人扫描;万一爆破了,责任全在你身上

  • 資深大佬 : lewis89

    openvpn + 路由表 一直都是这种方法..

  • 資深大佬 : lewis89

    @leapV3 直接放公网是真的傻,不管你密码多复杂,绝对有人愿意爆破你的,我之前路由器 22 在外网 每天几十万次的爆破,吓得宝宝立马放进内网,用 openvpn 回家了

  • 資深大佬 : takemeaway

    老老实实用 QQ 远程桌面吧。
    教你自动化操作:申请一个新 QQ 只加你自己,远程电脑上登录好,编写一个脚本自动接受远程桌面请求。是不是很爽~ 哈哈

  • 資深大佬 : ulpyxua

    QQ 远程不行,QQ 的很多遇到权限的界面无法操作。

  • 資深大佬 : secaas

    还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢…
    ———-
    先问是不是,再问为什么。不知道收到多少起客户因为把 windows 映射到公网然后被勒索的案例了;
    如果真的是刚需,可以去马云家搜索:向日葵 无网远程
    目前来看还是比较安全的,除非向日葵 server 被爆了就没办法了

  • 資深大佬 : monkey110

    照用 frp 就行 我的办法是平时 teamview 常驻 用的时候启动 frp 内网穿透 3389 不用的时候就关掉 frp 简单安全

  • 資深大佬 : 284716337

    公司的 vpn

文章導覽

上一篇文章
下一篇文章

AD

其他操作

  • 登入
  • 訂閱網站內容的資訊提供
  • 訂閱留言的資訊提供
  • WordPress.org 台灣繁體中文

51la

4563博客

全新的繁體中文 WordPress 網站
返回頂端
本站採用 WordPress 建置 | 佈景主題採用 GretaThemes 所設計的 Memory
4563博客
  • Hostloc 空間訪問刷分
  • 售賣場
  • 廣告位
  • 賣站?
在這裡新增小工具