刚入职,想加个端口映射方便回家远程工作,被以内网安全为由一口拒绝

246 天前
 wanmyj
表面上看,映射端口是会暴露更多的攻击面。

但是,一个创业公司,开发配的电脑的 Windows 都是 home 版的,还是我自己 搞得 pro ,普通路由器用 192 的网段,这能有个毛线网络安全。考虑到我的微软账户的安全性很高,攻破 3389 端口的能力基本上早就打穿了这层路由器管理员权限。

实际上,这恰恰暴露了 IT 的不专业。这家公司的工作效率,一定受限于公司的管理文化,不是依赖更高效的工作方式,而变得更依赖员工的工作努力。

还好手上还有其他 offer ,已经想跑了。
14321 次点击
所在节点    职场话题
115 条回复
frencis107
246 天前
真·懂王,安全意识淡薄而不自知。

将远程端口无限制暴露在外网是非常危险的事情,无论你的密码账号安全性有多高。

如果有更好的想法,比如内网部署一个 vpn ,通过 vpn 来访问内网,可以和公司提出。而不是到处抱怨《公司 it 不专业》《公司管理文化不行》《已经想跑了》

想跑就跑吧,别祸害这家公司了~
jiangyang123
246 天前
一般是提供 vpn 连回公司内网吧
droidmax61
246 天前
人是"系统安全"当中最不确定的一环
sagaxu
246 天前
@wanmyj 不是为了卷的话,个人一点建议

不要在公司开端口映射,在自己家里开,公司 ssh 到自己家里开反代,把家里的 A 端口转发到公司的 B 端口,家里的 ssh 端口需要时才打开,这样操作安全性要高的多
lifekevin
246 天前
是不是没待过有 IT 规范的公司?
naivesen
246 天前
有点血压升高,特意上来回复下

1. win 的 home 版做不了开发,只能 pro 版才行?
2. 微软账户足够安全,那么本地环境是否安全?如何保证?
3. 192 网段不安全,上 10.0.0.0/8 网段更安全?
4. 攻破 rdp 端口?如果是 0day 呢?
5. 因为自己"觉得"公司的内网环境不安全,所以觉得暴露多几个端口也无所谓?

如果你是 it ,你看到员工提出这些见解,你会回些什么?
opentrade
246 天前
愚昧
sakilascott
246 天前
虽然没待过规范的公司不是你的错,但你不经了解自以为是的乱喷,属实是没有脑子。
porjac233
246 天前
脑子正常的 IT 都会拒绝你
RipL
246 天前
不管你多安全,安全从自身角度肯定不会给你开,出了问题,他帮你背锅?因为这个被送进去的,论坛里也不是一个了
imnpc
246 天前
身为开发人员 向日葵 todesk 这些远程工具都不会用?
YsHaNg
246 天前
@wanmyj tailscale
Alliot
246 天前
要是 it 直接允许员工端口映射出去,那才叫不专业。。。
ck65
246 天前
拒绝得很对,决定本身无可指摘。其余不评价,只是嫌公司水平不够大可换一家,年轻人需要多看看。
wanmyj
246 天前
@YsHaNg 这个内网搭建,不也得端口映射吗?
wanmyj
246 天前
@imnpc 还真不太会用,前东家们全都是用 vpn 和 rdp 。也是学习了
wanmyj
246 天前
@sagaxu 我理解一下你说的,就是公司 ssh 到家里后,在公司的机器上开反代,把公司的 ssh 连接反代到 3389 端口?如果公司路由器不是 fullcone Nat ,而且大概率不是,应该没办法做到吧?
wanmyj
246 天前
@pagxir 看路由器界面,大概率是对称 nat ,udp 打洞可能不好使
YsHaNg
246 天前
@wanmyj 不需要 打洞出去的 没法 p2p 会从 relay 中转
sagaxu
246 天前
@wanmyj 不需要路由器支持,只要你的机器能访问外网就行,一般也不会封 ssh 协议,但是需要你家里的网络有公网 IP 。比如我这个 docker 部署的隧道

#!/bin/sh

/usr/sbin/sshd

su tunnel -c 'env AUTOSSH_POLL=60 /usr/bin/autossh -M 0 -NT \
-o ExitOnForwardFailure=yes -o ServerAliveInterval=90 \
-o ConnectTimeout=3 -o ConnectionAttempts=1 \
-R 127.0.0.1:2022:127.0.0.1:22 tunnel'

从家里执行 ssh -D 127.0.0.1:1081 -p 2022 127.0.0.1 ,家里就等于有了一个 socks 代理 127.0.0.1:1081 ,经过它的流量都会从公司的内网转发

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1033360

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX