在 Zerotier 内网里走 3389 是否可以裸奔?

2022-12-03 22:52:51 +08:00
 shinichii

在不做端口转发,以及修改默认 3389 端口号的基础上,是不是基本上可以认为足够安全了?

4044 次点击
所在节点    宽带症候群
13 条回复
ymmud
2022-12-03 23:00:02 +08:00
Zerotier 记得是自带加密得
zhaojjxvi
2022-12-03 23:00:42 +08:00
我觉得可以 以前就这么干的
但速度感人 就换向日葵了
Archeb
2022-12-03 23:02:07 +08:00
RDP 协议本身是支持 TLS 加密的,你如果安装了合法的域名证书就不会每次连接的时候都提示证书错误了。
所以从这个角度来说 RDP 连接以及其上的数据即使是在公网他也是安全的。

如果要从防止爆破的角度来说,如果没有暴露到公网,只在 ZeroTier 里面连接,确实足够安全了,都不需要修改 3389 端口。何况 ZeroTier 的数据传输也是加密过的,只要你 ZT 网内都是可信设备就是安全的。
40EaE5uJO3Xt1VVa
2022-12-04 00:24:00 +08:00
是的

除非你的 zerotier 局域网内有其他设备被入侵了。
smallthing
2022-12-04 02:43:19 +08:00
@Archeb 并不是 RDP 本身有时候存在溢出漏洞 也就是你直接发送 poc 到 3389 端口即可 不需要解密
momocha
2022-12-04 03:17:47 +08:00
让 3389 只暴露在 zerotier 而且你的 zerotier 网内的机器都是可信的就是安全的
LnTrx
2022-12-04 03:29:07 +08:00
不建议单纯依赖内网来保证安全
documentzhangx66
2022-12-04 04:48:01 +08:00
从安全角度来说,只要 Zerotier 没被 0day ,那就可以。

为了防止 0day ,一般情况下,VPN Server 的监听端,是需要套 2 种加密方案的。

一旦通过加密方案,其实就没必要继续加密了,甚至可以反向连接。

举个例子:

1.公网有一台 VPN Server ,开放了所有端口。

2.真正的业务端口,是需要根据日期,进行 hash ,来计算出正确的端口号。

3.黑客不知道这个算法,连接了错误的端口号,直接被 Fall-1-Ban 。

4.黑客侥幸猜对端口号,下一步仍然要 密码 + 邮箱验证码 + 短信验证码。

5.黑客如果相对真正的端口号进行爆破,直接 Fall-2-Ban 。
Archeb
2022-12-04 09:56:51 +08:00
@smallthing 首先,我认为不应该把 0day 攻击考虑进来,如果要考虑这个的话,任何协议的任何实现都“不安全”。不管什么软件都需要持续的更新打补丁才能保证相对安全。

其次,这是 RDP 的实现有问题,而非 RDP 协议有问题。就像当年的 CVE-2014-0160 (心脏出血),这是 OpenSSL 这个 TLS 实现有问题,而不是 TLS 协议具有缺陷导致的。而除了微软 RDP ,市面上还有 xrdp 等第三方开源实现,楼主并没有指明是 Windows 上的 RDP 服务器实现。

(> Wikipedia:因为缺陷在于 OpenSSL 的实现,而不是 SSL/TLS 协议本身,所以除了 OpenSSL 之外的其他 TLS 实现方式,如 GnuTLS 、Mozilla 的网络安全服务( NSS )和 Windows 平台的 TLS 实现都不受影响)
shinichii
2022-12-04 18:48:07 +08:00
感谢几位认真回答……因为又开始居家办公,所以也就是想实现远程连单位 win 主机的目的,家有公网所以速度还可以,用 vnc 也不差,rdp 感觉体验更好。我额外又在防火墙规则里加了作用域限制了 ip ,如果没有 0day 或者内网被入侵,应该不用太担心了。
goodryb
2022-12-05 14:00:19 +08:00
@shinichii #10 提个醒,连接单位的 win 主机建议采用公司 IT 提供的标准方法,具体方法不管是什么样的
smallthing
2022-12-06 00:01:45 +08:00
@Archeb 说了半天不知道有何意义
你还是无法否认一个 RDP 放公网和一个 UDP 端口 放公网 RDP 被 POC 的概率就是高
zanzhz1101
2022-12-06 07:47:04 +08:00
zerotier 开个私有网络不就行了,客户端需要手动允许入网的那种,总比公开的强

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/899894

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX