Re: [請益] 從外面要如何連公司的電腦

看板MIS作者 (小洪)時間4年前 (2019/09/17 21:41), 編輯推噓12(12067)
留言79則, 8人參與, 4年前最新討論串2/2 (看更多)
※ 引述《qw5526259 (B.K)》之銘言: : 從外面要如何連公司的電腦 : 有時公司電腦server出問題了, : 人在家裡, : 要如何連線 : 安全性比較高呢? : 目前我只會用teamviewer : 有其他好的方式嗎? 我是利用VPN與公司網路連接 然後利用遠端桌面登入 這樣安全些 也可以避免外部電腦利用3389攻擊主機 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.235.17.214 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1568727690.A.6F8.html
09/18 07:29, 4年前 , 1F
轉Port,對外不要用3389就好,防火牆也要關掉一些會被Ping
09/18 07:29, 1F
09/18 07:30, 4年前 , 2F
的選項,減少被掃到IP,沒被掃到IP就不會被掃Port,又轉Port
09/18 07:30, 2F
09/18 07:31, 4年前 , 3F
的可以減少很多不必要問題
09/18 07:31, 3F
09/18 08:30, 4年前 , 4F
請問您所說的轉PORT是指將本機的PORT使用登錄檔改成不同
09/18 08:30, 4F
09/18 08:30, 4年前 , 5F
的PORT嗎?還是說指防火牆中的PORT換不同的數字呢??
09/18 08:30, 5F
09/18 08:32, 4年前 , 6F
若是防火牆若您有空可否詳細講解呢?有GOOGLE過皆是跑
09/18 08:32, 6F
09/18 08:33, 4年前 , 7F
Port Forwarding還是這就是您所說的轉PORT那我在去仔細
09/18 08:33, 7F
09/18 08:33, 4年前 , 8F
看文章謝謝你了
09/18 08:33, 8F
09/18 08:41, 4年前 , 9F
剛看完文章的理解是將防火牆的如3745(對外)->3389(遠端)
09/18 08:41, 9F
09/18 08:43, 4年前 , 10F
3745也可改成不同數字這樣不曉得是否就是您所說的轉PORT
09/18 08:43, 10F
09/18 09:12, 4年前 , 11F
都可以,基本上我不喜歡改Local的Port,比較喜歡改防火牆的
09/18 09:12, 11F
09/18 09:14, 4年前 , 12F
,方便在於...隨時改一下防火牆就可以換Port
09/18 09:14, 12F
09/18 09:46, 4年前 , 13F
你們家如果有防火牆,這件事情很好解決
09/18 09:46, 13F
09/18 09:53, 4年前 , 14F
了解謝謝你又學到一些東西以前一直以為只能3389->3389
09/18 09:53, 14F
09/18 11:14, 4年前 , 15F
像 443 80 這些 Port 也很容易被掃(攻擊),都可以轉...
09/18 11:14, 15F
09/18 11:15, 4年前 , 16F
還有 SQL 的 1433 Port 也都要轉掉,如果DB主機有對外 = =a
09/18 11:15, 16F
09/18 11:20, 4年前 , 17F
轉port早就不夠安全了,現在每天網路上成千上萬bot在掃
09/18 11:20, 17F
09/18 11:21, 4年前 , 18F
還抱著不被掃到IP就掃不到port的心態也太天真了
09/18 11:21, 18F
09/18 11:23, 4年前 , 19F
只是給 a2764231 一點基礎的觀念,樓上可以分享你的高深建議
09/18 11:23, 19F
09/18 11:23, 4年前 , 20F
重要的內部主機別直接對外,透過VPN才是比較安全的做法
09/18 11:23, 20F
09/18 11:26, 4年前 , 21F
轉port至少防火牆上面限制連線的來源IP才"稍微"安全點
09/18 11:26, 21F
09/18 11:31, 4年前 , 22F
謝謝大家己收到,那想在詢問一下若使用SFTP要如何限制來
09/18 11:31, 22F
09/18 11:32, 4年前 , 23F
源IP呢?,因為大家都用手機家裡電也是浮動IP
09/18 11:32, 23F
09/18 11:32, 4年前 , 24F
電腦
09/18 11:32, 24F
09/18 11:44, 4年前 , 25F
限制IP當然就是只開給可信任的固定IP啊,要開給不特定IP
09/18 11:44, 25F
09/18 11:45, 4年前 , 26F
自己目前的做法就是密碼用複雜點加上synology內建的
09/18 11:45, 26F
09/18 11:45, 4年前 , 27F
https
09/18 11:45, 27F
09/18 11:46, 4年前 , 28F
當然有其他方法來增加安全性
09/18 11:46, 28F
09/18 11:47, 4年前 , 29F
了解只是目前這方式就有困難,公司的人都使用手機和自己
09/18 11:47, 29F
09/18 11:47, 4年前 , 30F
PC
09/18 11:47, 30F
09/18 11:47, 4年前 , 31F
若有更好建議我會在試試謝謝大家
09/18 11:47, 31F
09/18 11:48, 4年前 , 32F
例如加裝IPS、server設定登入錯誤3次的IP就封鎖之類的
09/18 11:48, 32F
09/18 11:49, 4年前 , 33F
還有就是上面講的VPN
09/18 11:49, 33F
09/18 11:49, 4年前 , 34F
你說的在一定時間錯三次鎖IP目前群輝設備是有做的
09/18 11:49, 34F
09/18 11:50, 4年前 , 35F
謝謝大家提供這麼多的方向,但買設備就較難上次中勒索
09/18 11:50, 35F
09/18 11:51, 4年前 , 36F
老板覺得付錢東西也有回不來的機會,只能把機器重灌設定
09/18 11:51, 36F
09/18 11:51, 4年前 , 37F
倒回去。
09/18 11:51, 37F
09/18 11:52, 4年前 , 38F
另外還有端點防護軟體也是
09/18 11:52, 38F
09/18 11:54, 4年前 , 39F
端點防護剛去GOOGLE我想我找時機提一提看起來防勒索好
09/18 11:54, 39F
09/18 11:54, 4年前 , 40F
像很厲害,那不曉得大家都用那家的呢?
09/18 11:54, 40F
09/18 11:56, 4年前 , 41F
去查一下"縱深防禦"吧..老話一句重要主機就不該直接對外
09/18 11:56, 41F
09/18 11:58, 4年前 , 42F
如果針對勒索軟體對策的話,先做好多個離線備份吧XD
09/18 11:58, 42F
09/18 11:58, 4年前 , 43F
看你的資料多重要就多做幾份
09/18 11:58, 43F
09/18 11:58, 4年前 , 44F
好的等等來去GOOGLE但有時主機仍有不得不對外狀況但您及
09/18 11:58, 44F
09/18 11:59, 4年前 , 45F
其它大大提供的方式真的是很受用的方式謝謝。
09/18 11:59, 45F
09/18 11:59, 4年前 , 46F
另外勒索軟體大多是內部的人帶進來的(釣魚、惡意網站)
09/18 11:59, 46F
09/18 11:59, 4年前 , 47F
所以單討論如何防止外部攻擊效果有限
09/18 11:59, 47F
09/18 12:00, 4年前 , 48F
目前備份就是先使用軟體做一全機離線備份
09/18 12:00, 48F
09/18 12:00, 4年前 , 49F
其它在使用同步備份定期每周備一份到離線外接硬碟
09/18 12:00, 49F
09/18 12:01, 4年前 , 50F
在使用server image backup每天定時做備份並只留存31份
09/18 12:01, 50F
09/18 12:02, 4年前 , 51F
其它就定期步到NAS NAS也在做離線全機備份
09/18 12:02, 51F
09/18 12:02, 4年前 , 52F
也是因為有上次中勒索的改進
09/18 12:02, 52F
09/18 12:17, 4年前 , 53F
反正你們也買了fortigate 60E,乾脆就把client vpn建好
09/18 12:17, 53F
09/18 12:19, 4年前 , 54F
以後SFTP這一類存取內部資料的服務就先連VPN再去連
09/18 12:19, 54F
09/18 12:20, 4年前 , 55F
只有30E啦,這部份應該是也只有一些USER會用
09/18 12:20, 55F
09/18 12:20, 4年前 , 56F
確認VPN運作OK後,就可以防火牆上面的轉port都拿掉了
09/18 12:20, 56F
09/18 12:20, 4年前 , 57F
若這一部份目前也只會開頭大大的連進來用微軟遠端桌面
09/18 12:20, 57F
09/18 12:21, 4年前 , 58F
但大概也只有少數會用連進來工作這樣而己
09/18 12:21, 58F
09/18 12:22, 4年前 , 59F
至於SFTP要使用者換個習慣又沒有老板大力相挺目前真的難
09/18 12:22, 59F
09/18 12:23, 4年前 , 60F
但剛您和其它大大提供的建議真的很有用也謝謝大家
09/18 12:23, 60F
09/18 12:24, 4年前 , 61F
剛也有去看您提的縱深防禦看起來不錯,但要錢就只能找時
09/18 12:24, 61F
09/18 12:25, 4年前 , 62F
間提案看老板買不買
09/18 12:25, 62F
09/18 12:25, 4年前 , 63F
這層層的防御方式也是很棒的構思
09/18 12:25, 63F
09/18 13:20, 4年前 , 64F
概念畢竟只是概念,實際上通常錢是最大的問題
09/18 13:20, 64F
09/18 13:21, 4年前 , 65F
不過就算預算有限,沒辦法做到多層,至少也要減少被攻擊
09/18 13:21, 65F
09/18 13:25, 4年前 , 66F
的機會,移除不必要對外的服務就是一個基本做法
09/18 13:25, 66F
09/18 13:35, 4年前 , 67F
哈哈您說的沒有錯所以自己會想說多了解其它人的做法當參
09/18 13:35, 67F
09/18 13:35, 4年前 , 68F
考至少在沒有經下把能做的先都做好,其它的看時間提案
09/18 13:35, 68F
09/18 13:36, 4年前 , 69F
若可被接受就有新設備保護就一步一步來
09/18 13:36, 69F
09/18 13:37, 4年前 , 70F
經費
09/18 13:37, 70F
09/18 16:48, 4年前 , 71F
開3389port 的 可以去系統管理員 看一下 security log
09/18 16:48, 71F
09/18 16:48, 4年前 , 72F
很精彩的~
09/18 16:48, 72F
09/18 20:30, 4年前 , 73F
增加CA憑證才可撥接VPN成功,個人是這樣操作
09/18 20:30, 73F
09/18 20:31, 4年前 , 74F
win remote改port比較好,很多都是走預設,容易被猜中
09/18 20:31, 74F
09/18 20:32, 4年前 , 75F
個人建議走VPN就好,只需針對開啟的port去監管就好了
09/18 20:32, 75F
09/18 23:24, 4年前 , 76F
先設定好防火牆的policy 吧
09/18 23:24, 76F
09/19 12:22, 4年前 , 77F
VPN加兩步驟驗證再開始做其他事情
09/19 12:22, 77F
09/19 12:22, 4年前 , 78F
SSH跟RDP永遠不要直接對外,不要當第一層驗證
09/19 12:22, 78F
09/22 18:02, 4年前 , 79F
VDI還不錯用,透過80/443 port就可以連了,安全又簡單
09/22 18:02, 79F
更多 hivenson 的文章
文章代碼(AID): #1TWEAARu (MIS)
更多 hivenson 的文章
文章代碼(AID): #1TWEAARu (MIS)