求一个安全的 RDP 内网穿透方案

2020-07-22 14:14:14 +08:00
 lwp2070809

今天刚打算把公司(国企)的办公电脑使用 RDP+FRP 内网穿透出去, 方便回家办公, 就看到了这个贴子 /t/692012 , 瑟瑟发抖, 遂放弃公司电脑内网穿透的想法, 但是偶尔也有远程控制家中电脑的需求, 于是求一个较为安全的解决方案.
我记得 FRP 支持 STCP 和口令, 是否足够安全?
RDP 有没有类似于 Linux SSH 的 RSA 密钥对认证方式并禁用密码登录? 目前我在局域网内登录 RDP 的方式是通过微软账号.
还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢...
另外由于经常更换地点, 所以不考虑 IP 白名单访问的方式.
最后心疼一波 teamviewer, 公司规定办公电脑只能用向日葵远程并 url 过滤了 teamviewer, 一问信息安全中心果然是之前那件破事...

10291 次点击
所在节点    程序员
63 条回复
JamesR
2020-07-22 23:35:24 +08:00
我直接 VPN 回家,啥事没有。
tinkerer
2020-07-22 23:36:14 +08:00
nebula
wxch111vv
2020-07-23 00:12:46 +08:00
家用宽带申请公网 ip 挂 openvpn 就行了
laminux29
2020-07-23 00:34:41 +08:00
题主还是没看懂那个帖子。

那个帖子,与 frp,与 3306 映射,毫无关系,而是与弱密码有关系。

使用弱密码,你的隧道方案再安全也没用。

我同事 16 位高度安全的混合密码,直接映射 Win 远程桌面 3306 到公网,十几年毛事没有。
zhhww57
2020-07-23 03:02:52 +08:00
我有个方案,可以不开放任何端口,但是有概率穿透不成功,用 softether 的 nat-t 穿透协议,记一下电脑的主机名,搬个 ddns,无需公网 ip,只需要取个奇葩点的主机名和 ddns
zhouzm
2020-07-23 07:32:33 +08:00
如果有服务器 ssh 权限的话,推荐使用 Jump Desktop,它支持通过 ssh 隧道访问局域网的 vnc 、rdp
tril
2020-07-23 09:04:10 +08:00
这种活交给 vpn,像 openvpn 可以下发自定义路由表,办公电脑 24 小时挂着都没事。
ruzztok
2020-07-23 09:17:17 +08:00
wireguard
kruskal
2020-07-23 09:46:15 +08:00
https://github.com/DigitalRuby/IPBan/releases
配置好 IPBAN 防暴力破解
P0P
2020-07-23 10:31:00 +08:00
直接对公网暴露任何端口都是不安全的,无所谓是 3306 还是 3389 还是 22,你怎么能确保这个 server 软件没有漏洞呢?像 rdp 的 0-day 之前又不是没有过,有这些漏洞的时候就跟你的密码和验证方式无关了,直接用漏洞就能穿透 server 远程执行命令。要想安全,还是要最小化暴露面,vpn 虚拟网肯定是较优的方案。
youyoumarco
2020-07-23 10:36:03 +08:00
国企还是老老实实找 IT 解决吧
leapV3
2020-07-23 10:49:00 +08:00
端口扫描+暴力穷举
只要你开放公网,就会有人扫描;万一爆破了,责任全在你身上
lewis89
2020-07-23 10:56:50 +08:00
openvpn + 路由表 一直都是这种方法..
lewis89
2020-07-23 10:59:16 +08:00
@leapV3 直接放公网是真的傻,不管你密码多复杂,绝对有人愿意爆破你的,我之前路由器 22 在外网 每天几十万次的爆破,吓得宝宝立马放进内网,用 openvpn 回家了
takemeaway
2020-07-23 11:04:17 +08:00
老老实实用 QQ 远程桌面吧。
教你自动化操作:申请一个新 QQ 只加你自己,远程电脑上登录好,编写一个脚本自动接受远程桌面请求。是不是很爽~ 哈哈
ulpyxua
2020-07-23 11:25:07 +08:00
QQ 远程不行,QQ 的很多遇到权限的界面无法操作。
secaas
2020-07-23 11:32:26 +08:00
还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢...
----------
先问是不是,再问为什么。不知道收到多少起客户因为把 windows 映射到公网然后被勒索的案例了;
如果真的是刚需,可以去马云家搜索:向日葵 无网远程
目前来看还是比较安全的,除非向日葵 server 被爆了就没办法了
monkey110
2020-07-23 16:43:25 +08:00
照用 frp 就行 我的办法是平时 teamview 常驻 用的时候启动 frp 内网穿透 3389 不用的时候就关掉 frp 简单安全
284716337
2020-07-23 18:23:20 +08:00
公司的 vpn
ChangHaoWei
2020-08-21 16:35:23 +08:00
ssh 端口转发不香吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/692192

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX