小米公司员工私自将公司内网端口映射到公网

資深大佬 : wudidangteng 12

2020 年 11 月 17 日上午 11:56，小米已发出全员级别的通告。人工智能部 AI 实验室一名实习生私自将公司内网端口映射到公网，导致不法分子入侵公司服务器，违反《小米集团员工行为准则》和《员工信息安全规范》有关规定，解除其实习协议，并将相关涉案人员移送司法处理。

有些许疑问，实习生有这么大权限么？会不会是哪个大佬把锅给实习生

大佬有話說 (100)

資深大佬 : wtks1

是不是在内网用 frp 之类的内网穿透工具把端口映射到他自己的服务器了？记得之前有这样的案例
資深大佬 : ghostsf

内网穿透的吧- –
資深大佬 : taobibi

还有一种可能是他买了个向日葵或者蒲公英的盒子
資深大佬 : vone

映射的 RDP 端口吧。
主資深大佬 : wudidangteng

看来内网穿透的可能性很大 – – 。估计他自己都不知道会这么严重吧
資深大佬 : kiracyan

公司内网自己乱搞就是作死
資深大佬 : CODEWEA

不冤
資深大佬 : imn1

移送司法处理
想知道这算渎职还是其他什么？
資深大佬 : CallMeReznov

偷偷做映射图方便的多了去了，讲白了还是自己安全意识低，知道外网访问危险性高映射出去就得加强密码还有服务安全性。
这映射出去就被人干一般问题都在于自己。
資深大佬 : luckyrayyy

我也差点有这个想法….frp 穿透出去，担心作死就没敢行动
資深大佬 : guixiexiezou

猜测 1：公司没有禁止外网访问，没有做特别明显的内外网区分
猜测 2：该实习生使用了内网穿透工具，例如 frp, 或者使用了类 VPN 软件，例如 V2ray，并极大可能开启远程桌面功能。

感觉很奇怪，不做完整的内外网隔离的话，就算不主动开端口，也会被其他人入侵到吧
資深大佬 : Cielsky

安全意识太低了吧。
偶尔也能在这里看到有人问如何绕过公司的各种限制，都是在给自己挖坑
資深大佬 : opengps

这种滥用行为其实很常见
資深大佬 : mrzx

frp 吧，或者向日葵之类的。不需要权限

我们公司，我就抓到几个。。。
反正有胆你就用，你既然用了，就要把服务器安全做好，只要不出事，那不会找你麻烦。
但是，你非要图方便，服务器安全你又自己没做好，又被人黑了，影响公司，那你就准备被开除吧。

反正我已经发通告给全公司员工，警告过了~
我的原则很简单，我不让你们用，如果在有人偷偷用，出了事，铁定你背锅就行。。。
資深大佬 : comsweetcs

啧啧啧
資深大佬 : Xillusion

我见过最狠的，拿公司科学上网线路开内网穿透给家里用。
主資深大佬 : wudidangteng

@Xillusion 这就离谱
資深大佬 : StrorageBox

不冤，我厂也一样
資深大佬 : 37Y37

这个不冤
資深大佬 : NoirStrike

龟龟…直接映射服务器, 都这么凶的吗…
映射下自己用的电脑, 再远程下, 不也挺好的嘛
資深大佬 : boris93

@NoirStrike #20 公司内网甭管啥机器，私自映射出去就是安全问题
外网连入公司网络的唯一解就是通过公司的 VPN
資深大佬 : zhygme

@mrzx 吓死我了我之前为了管理方便也把自己电脑映射出去了不过已经取消了哈哈
資深大佬 : HFX3389

那么问题来了，FRP 映射 RDP 端口要做什么安全防护？
資深大佬 : Smash

入职培训一般会有安全这块的讲解，红线是不能碰的。
資深大佬 : AlynxZhou

当代迷惑：用 frp 连内网服务器，用 vpn 番茄（
資深大佬 : zhanao1994

经常看到在公司玩内网穿透的，活该开除
資深大佬 : xuanbg

访问公司内网 VPN 不香吗？公司没有 VPN 吗？
資深大佬 : HFX3389

@xuanbg #27 有的公司还真没 VPN
資深大佬 : ihipop

@mrzx 怎么检测 frp
資深大佬 : mrzx

@ihipop 很简单啊，frp 应用层识别啊。。。。我们有专业的设备和系统，所有公司流量都要从这些设备通过。甚至公司谁经常访问猎聘，51job,通过拆开 7 层报文，分析 url 就可以生成一个报表，谁最近访问这些网站数量和次数最多。。。
資深大佬 : fangcan

@guixiexiezou 请教下本地开启了 v2ray 客户端，也属于内网穿透么？
資深大佬 : lewis89

@HFX3389 #28 我 openvpn 提心吊胆，生怕被人攻击..
資深大佬 : lewis89

@mrzx #30 装了证书吧，装证书的电脑真鸡巴恶心，对公司是完全透明的，我从来不在这种电脑上干自己的事情。
資深大佬 : lewis89

@fangcan #31 不算
資深大佬 : mrzx

@lewis89 2014 年左右，我在苏宁干过一段时间，整个苏宁访问外网必须通过代理。。。。那些运维每天的乐趣是在代理的日志里做数据挖掘找乐子。。。。
資深大佬 : lewis89

@fangcan #31 内网穿透是把内网的访问权限暴露到其它网络了，这种才叫内网穿透，一般是 C 类地址的访问权限被人放到公网上或者其它 C 网可以通过路由访问你的 C 网
資深大佬 : vfxx

那位大佬可以分享下《小米集团员工行为准则》和《员工信息安全规范》，我也想学习下，参考类似规定在自己公司发布。（网上没搜到）我身边已经不少于 3 个朋友用 FRP 被黑了，损失惨重。
資深大佬 : Fizzyi

请教一下各位，如何在保证安全的情况下能够在家里链接到公司的电脑呢
資深大佬 : wanguorui123

防火墙 + 防火墙证书 = 网络行为监控
資深大佬 : lewis89

@mrzx #35 我习惯自己架 openvpn 了，加密出去谁也看不到我在干嘛.. 除非他能拿到我的私钥
資深大佬 : onice

这波不怨。按照信息安全相关条例，该咋处理就咋处理。
資深大佬 : lewis89

@vfxx #37 可能他们没搞清楚 frp 的真正用途，这玩意本来就不是给你们用来做映射暴露重要未鉴权的服务用的，我用 frp 的唯一目的是为了让 openvpn 能用公网访问，不过 openvpn 的性能确实捉急
資深大佬 : dbpe

问题来了..我用 frp 做点对点映射 maven 和 git,如何优雅的安全的映射

(不想半夜起来去公司改 bug
資深大佬 : Macv1994

我使用公司电脑使用 SSH SFTP 连接自己的服务器没问题吧?
資深大佬 : Daybyedream

挂 VPN 不香么
資深大佬 : guixiexiezou

@fangcan 不算，但属于类 VPN 了，同样存在和 frp 一样的问题
資深大佬 : fanfpy

吓得我立马把 zerotier 卸载了
資深大佬 : shareSK

@lewis89 应该是深信服之类的网关。谁没事装证书啊
資深大佬 : Sapp

小米不提供 vpn 的吗？
資深大佬 : felixin

frp 怎么才能安全呢
資深大佬 : nznd

提问把家里的电脑远程桌面映射出去公司网络 rdp 连回来有危险吗
資深大佬 : lewis89

@shareSK #48 没证书 tls 加密就解密不了..
資深大佬 : Varobjs

不会玩内网穿透也是好事，
資深大佬 : mebtte

那么问题来了, 使用 frp 怎么保证安全呢?
資深大佬 : sleeperqp

@Sapp 有 vpn 的
資深大佬 : annielong

正确的方法是登 vpn，然后登远程
資深大佬 : nannanziyu

@guixiexiezou
@fangcan
看你怎么用了，v2ray 也有 dokodemo-door 协议来实现反代内网端口
frp 现在任何一个网关防火墙都能直接识别，v2ray 的藏在 vmess / vless 后面，识别不到
資深大佬 : bk201

搞 ai 的一般是搞算法的，貌似对这种事情不太了解
資深大佬 : tuding

好奇问一下，这个事情运维有锅吗？
資深大佬 : HFX3389

@tuding #59 应该没有或者应该在内网有人开穿透的时候及时发出警告
資深大佬 : kassadin

曾经用 frp 暴露了一个 jenkins 也被挖矿了，不做服务器确实安全意识不够
資深大佬 : redtea

不知道用 ngrok 算不算？
資深大佬 : mxalbert1996

所以说我一直在推荐这个
https://github.com/slackhq/nebula
資深大佬 : mangoDB

大概率用了 frp
資深大佬 : Bootis

frp 暴露 v2ray 端口，再通过 v2ray 连接应该会安全得多吧
資深大佬 : dropsio

干前端的我，懵逼中带着些许心虚….
資深大佬 : s609926202

内网穿透？我做过一种是路由器端口映射，到电脑上，不知道安全不安全
資深大佬 : glfpes

实习生刚刚踏入职场，没有职业意识很正常。把公司当自己实验室了瞎折腾。

小米肯定入职培训时讲过这种事不要做，类似的包括代码别传 github 等等。

如果被扫描器发现内网穿透最多就是通知一下，现在这个阵势肯定是这个口子被人用来破坏了。
資深大佬 : f165af34d4830eeb

V2 月经贴：我偷偷搭的 frp 被人橄榄了，导致公司损失，我该怎么办？

这就不是技术问题。
資深大佬 : TesterCC

“私自将公司内网端口映射到公网”看起来只是违规操作，但是具体映射原因没有说明，不好评论。导致“不法分子入侵公司服务器”，这个就严重了，虽然说直到被不法分子入侵后才发现这件事说明内网监管方面也有不足，但要给上面交代的话，肯定溯源到这个实习生，然后相关负责人大概也有不同程度的处理措施吧。
資深大佬 : hand515

用 stcp 就可以了吧
資深大佬 : mostkia

出门在外就得规矩一些，最忌讳的就是什么都不知道就乱搞，公司内网不是自己家庭院，出问题就不是小事情。不管是不是你导致的，你用了这类软件，屎盆子都可以扣你头上，而且有于你一知半解的用了这种软件，解释都解释不清。
資深大佬 : justin2018

@mrzx 啥设备深信服？
資深大佬 : mostkia

@HFX3389 一般来讲一个强密码就能搞定了，被搞的往往连这点最基础的安全意识都没，否则也不会在公司内网作死，可能密码还都只是 123456 这类的
資深大佬 : younghust

不会玩不要在公司玩，损失很大的
資深大佬 : dbpe

@mxalbert1996 大佬安利一波?粗看了下..好像是用 TLS 来做协议传输的
資深大佬 : GrayXu

实习时候公司的训练机器直接在路由上 ban 了所有外网请求，然后有需求都走内网镜像。。。
要是搞了生产的机器，那直接就有经济损失了，真敢…
資深大佬 : Tumblr

@Xillusion #14 见笑了
資深大佬 : Caan07

@shareSK #48 深信服我记得似乎有 VPN 模块，似乎还要审计和授权。。。。。。
資深大佬 : Thexz

@xuanbg 使用公司 VPN 也是需要申请的吧，没有正当理由，恐怕申请困难。我公司是这样的。
資深大佬 : infun

刚工作那会干过这事，第二天想起来立马关了
資深大佬 : nmecury

这种应该是想在家里上公司的 GPU 机器跑实验吧……还有我理解移送公安机关的涉案人员应该是指入侵者
資深大佬 : benmaowang

frp 内网点对点，不暴露端口到公网应该是安全的吧
資深大佬 : bclerdx

@mrzx 那么你自己用？
資深大佬 : bclerdx

@boris93 不如某信服的 SSL VPN 。
資深大佬 : Liyiw

这。。。在学校实验室的机器上开 frp 会不会被学校干。。有点慌
資深大佬 : xuanbg

@Thexz 没有正当理由远程进公司内网做什么呢？有正当理由怎么会申请不到呢？
資深大佬 : Ekid

为啥不用堡垒机.我们单位因为业务问题经常需要第三方供应商的技术人员支持,都是用堡垒机远程进来的,需要远程办公的话我自己也从堡垒机进来
資深大佬 : eastern

之前不是有帖子也是用 frp 反代出去然后被勒索了吗。
資深大佬 : hzzz0823

如果我只开 ssh 的公钥访问，是不是就一定安全了
資深大佬 : pydiff

感觉你们都好专业,不过我自己的经历是随便开映射,都是用强密码,三年多了,啥事都没有,为啥他们的就那么容易被黑呢
資深大佬 : myd

内网穿透很危险
資深大佬 : billlee

@hzzz0823 #90 openssh 也会有漏洞
資深大佬 : huigeer

用向日葵属于违规嘛
資深大佬 : wslzy007

这事嘛，和设置的密码强度无关，系统漏洞，软件漏洞等都是直接秒的！
不要将内网映射到外网端口！
不要将内网映射到外网端口！
不要将内网映射到外网端口！
資深大佬 : zmxnv123

想当年我实习生涯也无知的这么干过，只能谢当年黑客不杀之恩。
資深大佬 : mxalbert1996

@dbpe 这个无论是性能还是安全性都完爆 frp 之流。性能方面，frp 完全就是端口转发，速度受限于服务器，而 Nebula 只有最初建立连接时要通过服务器中转，连接建立了以后通过 UDP 打洞直接通信。安全方面，基于证书，比密码安全得多。
資深大佬 : wtks1

@mxalbert1996 frp 也有点对点模式的….
資深大佬 : cjq8z

@pydiff 被黑有时并不是密码问题而是漏洞被利用了。
資深大佬 : cjq8z

公司电脑就当成公司电脑使用，一律不处理个人私人事物。拿来处理个人私人事物就是职场小白。
拿公司电脑搞自己私人事情，最大的风险是泄密，不出事还好，出事就是你背锅了。
按公司流程走，出事了还有领导背锅、相关不同部门背锅，大家都有责任，一般就是大事化小，小事化无。
不按公司流程走，出了问题，你就背锅了。