V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
black11black
V2EX  ›  宽带症候群

frp 内网穿透的安全性如何?如果是明文传输是否有安全隐患?

  •  
  •   black11black · 2020-06-01 04:30:31 +08:00 · 12747 次点击
    这是一个创建于 1636 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,今天突然想到的问题,有没有朋友比较了解的讲一下。 比如我有一个网页服务架在本地 8080,用 frp 暴露本地 8080 端口,映射到服务器的 80 端口,那么如果在此之上进行了 SSL 的配置的话网页服务本身应该是安全的,即使被监听也无危险。

    但是 frp 传输的部分是否是安全的呢?虽然 frp 设置中似乎可以设置口令,但是整个通信是包含在合理的加密协议中的吗?如果不是的话,是否有可能导致我的端口被攻击?(比如攻击者伪装自己是 frp 服务端,发送伪造的请求客户端数据,是否有可能导致执行代码段的安全漏洞?)

    9 条回复    2020-06-03 12:24:11 +08:00
    cnnblike
        1
    cnnblike  
       2020-06-01 04:43:32 +08:00 via Android
    frp 可以转发 tcp 流量的,转发 local 的 https 就行
    different
        2
    different  
       2020-06-01 06:04:15 +08:00
    假设是明文,这不就简化成为了你使用的应用层协议是否是安全的了吗?
    attker
        3
    attker  
       2020-06-01 07:11:35 +08:00 via iPhone   ❤️ 1
    frpc 可以设置 use_encryption 选项,保
    使 frpc 与 frps 之前的加密传输
    teawithlife
        4
    teawithlife  
       2020-06-01 07:47:44 +08:00
    一般来说是安全的,从两个方面:
    1. 既然你是用来内网穿透,说明你的网络本身就不能被外部访问,所以外部并没法直接攻击你的 8080 端口
    2. frpc 是主动去连接服务器的,并不是监听本地端口(甚至 frps 都不知道你本地到底连接了什么端口),你本地的 web 服务甚至可以监听 127.0.0.1:8080(如果 frpc 运行在同一主机的话)

    至于你说的伪装服务器,你看 frpc.ini 里面,你的服务器 IP 是写死的,这个要伪装的话,难度就有点大了

    frp 可能存在的风险点在于加密被破解,然后中间人攻击,但是这个成本太高了
    lightwell
        5
    lightwell  
       2020-06-01 09:19:05 +08:00 via Android
    一定要讲安全的话,现在公认的就是 TLS 和 IPSEC,其他自己搞的协议多多少少都有漏洞。
    jiangyang123
        6
    jiangyang123  
       2020-06-01 11:25:53 +08:00
    会暴露自己的家庭宽带 ip 地址吗
    black11black
        7
    black11black  
    OP
       2020-06-01 12:23:20 +08:00
    @teawithlife 嗯,我的意思就是是否有中间人攻击的隐患。比如我们自建网站服务的时候我几乎可以确保 client 不会拿到假的证书,那么我可以理论上确保我的一切通信完全加密,就很舒服。如果 frp 是只有 nat 程度的安全防范的话就感觉不太舒服
    mm2x
        8
    mm2x  
       2020-06-02 07:53:53 +08:00
    Frp 可以使用 TLS 加密啊。为啥要明文传输

    Frpc 配置上这个参数 用了这个要把 use_encryption 参数关闭 只能用一种加密

    #TLS 加密传输(与二次加密只能启用一个)
    tls_enable = true
    cdh1075
        9
    cdh1075  
       2020-06-03 12:24:11 +08:00
    关于明文传输:没有任何安全问题,出入 8080 端口的任何流量都是 https 加密的,不建议在 frp 上配置加密,因为会导致加密了两次,影响性能
    关于中间人攻击:防止中间人攻击是身份验证算法的基本功,frp 这方面没啥大问题,就算 frp 出问题,里面还有一层 https,怕啥?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2210 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 00:57 · PVG 08:57 · LAX 16:57 · JFK 19:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.