Re: [請益] 從外面要如何連公司的電腦

作者: hivenson (小洪)   2019-09-17 21:41:28
※ 引述《qw5526259 (B.K)》之銘言:
: 從外面要如何連公司的電腦
: 有時公司電腦server出問題了,
: 人在家裡,
: 要如何連線
: 安全性比較高呢?
: 目前我只會用teamviewer
: 有其他好的方式嗎?
我是利用VPN與公司網路連接
然後利用遠端桌面登入
這樣安全些
也可以避免外部電腦利用3389攻擊主機
作者: zbug (瞌睡虫)   2019-09-18 07:29:00
轉Port,對外不要用3389就好,防火牆也要關掉一些會被Ping的選項,減少被掃到IP,沒被掃到IP就不會被掃Port,又轉Port的可以減少很多不必要問題
作者: a2764231 (今天得月亮好大)   2019-09-18 08:30:00
請問您所說的轉PORT是指將本機的PORT使用登錄檔改成不同的PORT嗎?還是說指防火牆中的PORT換不同的數字呢??若是防火牆若您有空可否詳細講解呢?有GOOGLE過皆是跑Port Forwarding還是這就是您所說的轉PORT那我在去仔細看文章謝謝你了剛看完文章的理解是將防火牆的如3745(對外)->3389(遠端)3745也可改成不同數字這樣不曉得是否就是您所說的轉PORT
作者: zbug (瞌睡虫)   2019-09-18 09:12:00
都可以,基本上我不喜歡改Local的Port,比較喜歡改防火牆的,方便在於...隨時改一下防火牆就可以換Port
作者: lusaka (gary.lusifa)   2019-09-18 09:46:00
你們家如果有防火牆,這件事情很好解決
作者: a2764231 (今天得月亮好大)   2019-09-18 09:53:00
了解謝謝你又學到一些東西以前一直以為只能3389->3389
作者: zbug (瞌睡虫)   2019-09-18 11:14:00
像 443 80 這些 Port 也很容易被掃(攻擊),都可以轉...還有 SQL 的 1433 Port 也都要轉掉,如果DB主機有對外 = =a
作者: deadwood (T_T)   2019-09-18 11:20:00
轉port早就不夠安全了,現在每天網路上成千上萬bot在掃還抱著不被掃到IP就掃不到port的心態也太天真了
作者: zbug (瞌睡虫)   2019-09-18 11:23:00
只是給 a2764231 一點基礎的觀念,樓上可以分享你的高深建議
作者: deadwood (T_T)   2019-09-18 11:23:00
重要的內部主機別直接對外,透過VPN才是比較安全的做法轉port至少防火牆上面限制連線的來源IP才"稍微"安全點
作者: a2764231 (今天得月亮好大)   2019-09-18 11:31:00
謝謝大家己收到,那想在詢問一下若使用SFTP要如何限制來源IP呢?,因為大家都用手機家裡電也是浮動IP電腦
作者: deadwood (T_T)   2019-09-18 11:44:00
限制IP當然就是只開給可信任的固定IP啊,要開給不特定IP
作者: a2764231 (今天得月亮好大)   2019-09-18 11:45:00
自己目前的做法就是密碼用複雜點加上synology內建的https
作者: deadwood (T_T)   2019-09-18 11:46:00
當然有其他方法來增加安全性
作者: a2764231 (今天得月亮好大)   2019-09-18 11:47:00
了解只是目前這方式就有困難,公司的人都使用手機和自己PC若有更好建議我會在試試謝謝大家
作者: deadwood (T_T)   2019-09-18 11:48:00
例如加裝IPS、server設定登入錯誤3次的IP就封鎖之類的還有就是上面講的VPN
作者: a2764231 (今天得月亮好大)   2019-09-18 11:49:00
你說的在一定時間錯三次鎖IP目前群輝設備是有做的謝謝大家提供這麼多的方向,但買設備就較難上次中勒索老板覺得付錢東西也有回不來的機會,只能把機器重灌設定倒回去。
作者: deadwood (T_T)   2019-09-18 11:52:00
另外還有端點防護軟體也是
作者: a2764231 (今天得月亮好大)   2019-09-18 11:54:00
端點防護剛去GOOGLE我想我找時機提一提看起來防勒索好像很厲害,那不曉得大家都用那家的呢?
作者: deadwood (T_T)   2019-09-18 11:56:00
去查一下"縱深防禦"吧..老話一句重要主機就不該直接對外如果針對勒索軟體對策的話,先做好多個離線備份吧XD看你的資料多重要就多做幾份
作者: a2764231 (今天得月亮好大)   2019-09-18 11:58:00
好的等等來去GOOGLE但有時主機仍有不得不對外狀況但您及其它大大提供的方式真的是很受用的方式謝謝。
作者: deadwood (T_T)   2019-09-18 11:59:00
另外勒索軟體大多是內部的人帶進來的(釣魚、惡意網站)所以單討論如何防止外部攻擊效果有限
作者: a2764231 (今天得月亮好大)   2019-09-18 12:00:00
目前備份就是先使用軟體做一全機離線備份其它在使用同步備份定期每周備一份到離線外接硬碟在使用server image backup每天定時做備份並只留存31份其它就定期步到NAS NAS也在做離線全機備份也是因為有上次中勒索的改進
作者: deadwood (T_T)   2019-09-18 12:17:00
反正你們也買了fortigate 60E,乾脆就把client vpn建好以後SFTP這一類存取內部資料的服務就先連VPN再去連
作者: a2764231 (今天得月亮好大)   2019-09-18 12:20:00
只有30E啦,這部份應該是也只有一些USER會用
作者: deadwood (T_T)   2019-09-18 12:20:00
確認VPN運作OK後,就可以防火牆上面的轉port都拿掉了
作者: deadwood (T_T)   2019-09-18 13:20:00
概念畢竟只是概念,實際上通常錢是最大的問題不過就算預算有限,沒辦法做到多層,至少也要減少被攻擊的機會,移除不必要對外的服務就是一個基本做法
作者: a2764231 (今天得月亮好大)   2019-09-18 13:35:00
哈哈您說的沒有錯所以自己會想說多了解其它人的做法當參考至少在沒有經下把能做的先都做好,其它的看時間提案若可被接受就有新設備保護就一步一步來經費
作者: trumpete (流浪)   2019-09-18 16:48:00
開3389port 的 可以去系統管理員 看一下 security log很精彩的~
作者: fonzae (fonzae)   2019-09-18 20:30:00
增加CA憑證才可撥接VPN成功,個人是這樣操作win remote改port比較好,很多都是走預設,容易被猜中個人建議走VPN就好,只需針對開啟的port去監管就好了
作者: lusaka (gary.lusifa)   2019-09-18 23:24:00
先設定好防火牆的policy 吧
作者: kenwufederer (Nash)   2019-09-19 12:22:00
VPN加兩步驟驗證再開始做其他事情SSH跟RDP永遠不要直接對外,不要當第一層驗證
作者: hhyu0627 (Sean)   2019-09-22 18:02:00
VDI還不錯用,透過80/443 port就可以連了,安全又簡單

Links booklink

Contact Us: admin [ a t ] ucptt.com