小白是否不适合搞外网远程桌面?

2023-05-05 11:16:55 +08:00
 az22c

想从公司,远程桌面到家里的 主力机(代号为 C 机),看看笔记啥的,一般不需要提交什么资料。

一般方案就是:控制端机 A,远程桌面到,家里 主力机 C。(家里还有一台 闲置机 B,看看能不能帮助提高安全性。)


如果实施远程桌面方案:

研究了一下站里,我做一个肤浅的解读:

所以,

但是看到很多案例,病毒木马感染能打穿局域网。想试问 机 B 访问 机 C 的笔记和图床有什么安全的服务? ==》就是一个局域网里面搞安全隔离的问题。


如果不实施远程桌面方案:

任意一台局域网内机器,将笔记部署为一个网页服务,只暴露这个端口和网页。外网的机器怎么访问这个内网网页,同时安全性比较高呢?

6409 次点击
所在节点    宽带症候群
52 条回复
c5QzzesMys8FudxI
2023-05-05 15:31:13 +08:00
我是在家里软路由上开了个 Ss 节点,手机和 mac 用 QX ,在外面访问家庭网段 QX 默认走软路由的 Ss 节点。
registerrr
2023-05-05 15:37:49 +08:00
frp+远程桌面 最不用折腾, 最合适. 就是得有台公网服务器
密钥设长一点复杂一点, 安全的很.
LnTrx
2023-05-05 15:44:43 +08:00
远程桌面的话虚拟机就行了吧,独立物理机的必要性没那么明显。虚拟机可以通过虚拟化软件的共享文件夹功能访问特定宿主机文件。

非远程桌面方案,部署网页服务的笔记放在虚拟化环境,然后 https 向外网公开不就行了。不放心的话在 nginx 反代再加一层密码验证。
az22c
2023-05-05 15:54:25 +08:00
@LnTrx 虚拟机有虚拟机逃逸;独立物理机可以通过 wifi 进入局域网。好像虚拟机靠谱一点点
LnTrx
2023-05-05 16:43:57 +08:00
@az22c 如果这都要考虑,那 A 上应用更可能有漏洞,导致 B 也可以攻击到 A 。
对比一下:

1. C 直接部署笔记服务,https 暴露外网
如果笔记服务有重大漏洞(比如登录界面可以访问到主机文件),会威胁整台机器

2. C 直接部署笔记服务,https 暴露外网,nginx 额外加一层密码
即使有重大漏洞,外界绕不过外层密码也难办(但有些 App 可能会不兼容额外的访问控制)

3. C 使用虚拟化部署笔记服务,https 暴露外网
如果笔记服务被攻破,虚拟环境可访问的信息会沦陷。
宿主的风险取决于虚拟化技术。对于虚拟机,逃逸是价值很高的漏洞,对于民用场景不太会遇到。Docker 可能需要加固。

4. C 直接部署远程桌面访问仅限本机的笔记服务,远程桌面暴露外网
如果远程桌面有重大漏洞,那会威胁整台机器。如果套一层隧道,那进一步取决于隧道协议和虚拟局域网的安全性。

5. B 部署远程桌面访问 C 仅限局域网的笔记服务,远程桌面暴露外网
首先取决于远程桌面的安全性。如果被攻陷,且局域网内有不设防 /高危漏洞的服务,可能会让运行该服务的机器进一步沦陷(除非额外限制)。B 本身的使用痕迹也可能成为跳板(比如保存了密码)。另外,局域网内其它设备也可能威胁笔记服务(除非额外限制)。

6. C 部署虚拟机运行远程桌面通过共享访问笔记,远程桌面暴露外网
如果远程桌面被攻破,虚拟环境可访问的信息会沦陷。是否能访问局域网其他设备取决于虚拟机网络的配置。
如果虚拟机存在逃逸等漏洞,会威胁到宿主机。

综合看下来,其实就是估计笔记服务出漏洞、远程桌面被攻破、虚拟机发生逃逸、隧道被攻破的可能性(同时考虑 ABC 自身以及虚拟局域网中其他设备等风险),组合出安全系数满足需求、同时不至于太麻烦的方案。个人认为民用场景下,虚拟机的隔离已经够安全了,实在不行加一层密码 /隧道。过于复杂的方案比较难以坚持,而且可能会增加新的风险点。
LnTrx
2023-05-05 16:45:57 +08:00
@LnTrx 如果这都要考虑,那 A 上应用更可能有漏洞,导致 B 也可以攻击到 A 。
修正> 如果虚拟机逃逸都要考虑,那 C 暴露在局域网的服务出漏洞更要考虑。这样的话,B 自然也可以攻击到 C 。
az22c
2023-05-05 16:54:18 +08:00
@LnTrx 感谢大佬。还是觉得虚拟机比较易用,以前已经装过虚拟机。笔记服务、局域网服务本人根本不懂如何设防。
LnTrx
2023-05-05 17:02:19 +08:00
@az22c 我考虑得可能还不够周全。
另外想问下,你增加一个跳板,目的是为了保护笔记,还是宿主机。如果只是保护宿主机,那直接在 B 部署笔记不就完了。如果远程桌面方案想额外保护笔记,那还需要好的使用习惯。比如在 B 的浏览器里保存了密码,或者登陆了没退出,此时远程桌面被攻破,不也一样白搭。相比其它远程桌面方案,物理隔离对笔记的保护没有增加多少。
az22c
2023-05-05 17:05:48 +08:00
@LnTrx #28 增加一个跳板,目的是为了保护宿主机。而笔记内容可以脱敏脱密再使用,笔记外泄倒是不怕。
az22c
2023-05-05 17:09:33 +08:00
@LnTrx #28 如果用 备用机物理机 来实现 B 。打算把笔记仍到 git 私人仓库。然后 B 用 git ssh 连接笔记仓库,同时搞那种每次连接输密码的。

再深一层局域网防护已经不会了。
LnTrx
2023-05-05 17:27:18 +08:00
@az22c 如果服务直接部署在 B ,就没必要再研究 B 、C 的互访,同时避免 C 局域网暴露造成的额外风险。担心 B 沦陷连累局域网的话可以在网关做额外限制,更重要的是加固其他设备的局域网暴露端口。(既然考虑 B 沦陷,那 B 自身防火墙禁止访问内网似乎意义有限)
另外的方案就是直接在 C 上运行虚拟机。比上述方案增加了逃逸的风险,当然民用很难碰到 0day 的逃逸攻击。但方便的点在于不用维护一台额外的设备,可以通过共享文件访问特定目录,同时控制虚拟机网络比较方便。可以在虚拟网络与宿主机通信(配完可以验证一下哪些宿主端口可访问),避免宿主机向真实的局域网暴露端口。
当然以上都是基于远程桌面的方案,如果是我自己还是更倾向于转发 https 。

写了半天注意到你怕的好像是勒索病毒,那把重要资料定期异机备份可能是更需要的保护。
thereone
2023-05-05 18:03:59 +08:00
搞的麻烦,哪有那么多翻车的。最简单就是部署一个 VPN 。你要有公网 IP 那就直接 VPN 回去就行,自行搭建 VPN 总不会被人攻破啊。不行就用内网穿透的 zerotier 这种,觉得不安全那就自建一个 moon 或者 leaf 节点。然后 B 和 C 之间要安全就上一个软防火墙如 pfsense opnsense 这类的或者用 esxi 导入山石网科的防火墙,虽然只有 30 天试用但是到差不多时间就快照一键还原就行。b 访问 c 就只在防火墙里面开启某些端口就行做到访问隔离。
az22c
2023-05-05 18:05:26 +08:00
@thereone 原来如此,就喜欢后半段这么简单粗暴的 感谢
sofukwird
2023-05-05 18:14:13 +08:00
不适合,微软远程桌面出过 0day 漏洞,不需要密码,只要你开了远程桌面端口就可以被黑客控制
如果你觉得自己很牛逼,能防所有 0day 漏洞,那你可以不用 VPN
sofukwird
2023-05-05 18:15:56 +08:00
tailscale 客户端是开源的,你可以认为它没有明显的漏洞
bluehr
2023-05-05 18:18:05 +08:00
企业版 win10 mstsc + duo mobile 双因子认证 ,已经暴露 3389 端口多年,没被攻击过
AaIT
2023-05-05 18:25:01 +08:00
tailscale 组个内网不就行了,我们商用内部管理都用 tailscale 后台配置权限打上 TAG 想怎么控制怎么控制,tailscale 的域名可以申请免费的证书做个内网网站就行了,HTTPS 都齐全的,很完整的方案了
dann73580
2023-05-06 00:44:13 +08:00
Tailscale 基于 wg ,目前看 wg 的安全性还是挺有保障的。如果一定要信赖,那我选这个。家里电脑可以设置密钥过期时间,要安全就设置低一点好了。
lentrody
2023-05-06 01:33:25 +08:00
@sofukwird 难道 VPN 就不会有 0day 漏洞了?
部署安全性低的服务才需要 VPN ,微软远程桌面被无数人盯着,安全性不会比 VPN 差。
sofukwird
2023-05-06 08:00:36 +08:00
@lentrody 你能盯着黑盒你牛逼,微软远程桌面是闭源的
wireguard 的安全性是经过安全公司检验过的,目前来说没有发现明显的漏洞

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/937485

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX