→ zbug: 轉Port,對外不要用3389就好,防火牆也要關掉一些會被Ping 09/18 07:29
→ zbug: 的選項,減少被掃到IP,沒被掃到IP就不會被掃Port,又轉Port 09/18 07:30
→ zbug: 的可以減少很多不必要問題 09/18 07:31
推 a2764231: 請問您所說的轉PORT是指將本機的PORT使用登錄檔改成不同 09/18 08:30
→ a2764231: 的PORT嗎?還是說指防火牆中的PORT換不同的數字呢?? 09/18 08:30
→ a2764231: 若是防火牆若您有空可否詳細講解呢?有GOOGLE過皆是跑 09/18 08:32
→ a2764231: Port Forwarding還是這就是您所說的轉PORT那我在去仔細 09/18 08:33
→ a2764231: 看文章謝謝你了 09/18 08:33
推 a2764231: 剛看完文章的理解是將防火牆的如3745(對外)->3389(遠端) 09/18 08:41
→ a2764231: 3745也可改成不同數字這樣不曉得是否就是您所說的轉PORT 09/18 08:43
→ zbug: 都可以,基本上我不喜歡改Local的Port,比較喜歡改防火牆的 09/18 09:12
→ zbug: ,方便在於...隨時改一下防火牆就可以換Port 09/18 09:14
→ lusaka: 你們家如果有防火牆,這件事情很好解決 09/18 09:46
推 a2764231: 了解謝謝你又學到一些東西以前一直以為只能3389->3389 09/18 09:53
→ zbug: 像 443 80 這些 Port 也很容易被掃(攻擊),都可以轉... 09/18 11:14
→ zbug: 還有 SQL 的 1433 Port 也都要轉掉,如果DB主機有對外 = =a 09/18 11:15
→ deadwood: 轉port早就不夠安全了,現在每天網路上成千上萬bot在掃 09/18 11:20
→ deadwood: 還抱著不被掃到IP就掃不到port的心態也太天真了 09/18 11:21
→ zbug: 只是給 a2764231 一點基礎的觀念,樓上可以分享你的高深建議 09/18 11:23
→ deadwood: 重要的內部主機別直接對外,透過VPN才是比較安全的做法 09/18 11:23
→ deadwood: 轉port至少防火牆上面限制連線的來源IP才"稍微"安全點 09/18 11:26
推 a2764231: 謝謝大家己收到,那想在詢問一下若使用SFTP要如何限制來 09/18 11:31
→ a2764231: 源IP呢?,因為大家都用手機家裡電也是浮動IP 09/18 11:32
→ a2764231: 電腦 09/18 11:32
→ deadwood: 限制IP當然就是只開給可信任的固定IP啊,要開給不特定IP 09/18 11:44
推 a2764231: 自己目前的做法就是密碼用複雜點加上synology內建的 09/18 11:45
→ a2764231: https 09/18 11:45
→ deadwood: 當然有其他方法來增加安全性 09/18 11:46
→ a2764231: 了解只是目前這方式就有困難,公司的人都使用手機和自己 09/18 11:47
→ a2764231: PC 09/18 11:47
→ a2764231: 若有更好建議我會在試試謝謝大家 09/18 11:47
→ deadwood: 例如加裝IPS、server設定登入錯誤3次的IP就封鎖之類的 09/18 11:48
→ deadwood: 還有就是上面講的VPN 09/18 11:49
推 a2764231: 你說的在一定時間錯三次鎖IP目前群輝設備是有做的 09/18 11:49
→ a2764231: 謝謝大家提供這麼多的方向,但買設備就較難上次中勒索 09/18 11:50
→ a2764231: 老板覺得付錢東西也有回不來的機會,只能把機器重灌設定 09/18 11:51
→ a2764231: 倒回去。 09/18 11:51
→ deadwood: 另外還有端點防護軟體也是 09/18 11:52
→ a2764231: 端點防護剛去GOOGLE我想我找時機提一提看起來防勒索好 09/18 11:54
→ a2764231: 像很厲害,那不曉得大家都用那家的呢? 09/18 11:54
→ deadwood: 去查一下"縱深防禦"吧..老話一句重要主機就不該直接對外 09/18 11:56
→ deadwood: 如果針對勒索軟體對策的話,先做好多個離線備份吧XD 09/18 11:58
→ deadwood: 看你的資料多重要就多做幾份 09/18 11:58
推 a2764231: 好的等等來去GOOGLE但有時主機仍有不得不對外狀況但您及 09/18 11:58
→ a2764231: 其它大大提供的方式真的是很受用的方式謝謝。 09/18 11:59
→ deadwood: 另外勒索軟體大多是內部的人帶進來的(釣魚、惡意網站) 09/18 11:59
→ deadwood: 所以單討論如何防止外部攻擊效果有限 09/18 11:59
→ a2764231: 目前備份就是先使用軟體做一全機離線備份 09/18 12:00
→ a2764231: 其它在使用同步備份定期每周備一份到離線外接硬碟 09/18 12:00
→ a2764231: 在使用server image backup每天定時做備份並只留存31份 09/18 12:01
→ a2764231: 其它就定期步到NAS NAS也在做離線全機備份 09/18 12:02
→ a2764231: 也是因為有上次中勒索的改進 09/18 12:02
→ deadwood: 反正你們也買了fortigate 60E,乾脆就把client vpn建好 09/18 12:17
→ deadwood: 以後SFTP這一類存取內部資料的服務就先連VPN再去連 09/18 12:19
推 a2764231: 只有30E啦,這部份應該是也只有一些USER會用 09/18 12:20
→ deadwood: 確認VPN運作OK後,就可以防火牆上面的轉port都拿掉了 09/18 12:20
→ a2764231: 若這一部份目前也只會開頭大大的連進來用微軟遠端桌面 09/18 12:20
→ a2764231: 但大概也只有少數會用連進來工作這樣而己 09/18 12:21
→ a2764231: 至於SFTP要使用者換個習慣又沒有老板大力相挺目前真的難 09/18 12:22
→ a2764231: 但剛您和其它大大提供的建議真的很有用也謝謝大家 09/18 12:23
→ a2764231: 剛也有去看您提的縱深防禦看起來不錯,但要錢就只能找時 09/18 12:24
→ a2764231: 間提案看老板買不買 09/18 12:25
→ a2764231: 這層層的防御方式也是很棒的構思 09/18 12:25
→ deadwood: 概念畢竟只是概念,實際上通常錢是最大的問題 09/18 13:20
→ deadwood: 不過就算預算有限,沒辦法做到多層,至少也要減少被攻擊 09/18 13:21
→ deadwood: 的機會,移除不必要對外的服務就是一個基本做法 09/18 13:25
推 a2764231: 哈哈您說的沒有錯所以自己會想說多了解其它人的做法當參 09/18 13:35
→ a2764231: 考至少在沒有經下把能做的先都做好,其它的看時間提案 09/18 13:35
→ a2764231: 若可被接受就有新設備保護就一步一步來 09/18 13:36
→ a2764231: 經費 09/18 13:37
推 trumpete: 開3389port 的 可以去系統管理員 看一下 security log 09/18 16:48
→ trumpete: 很精彩的~ 09/18 16:48
→ fonzae: 增加CA憑證才可撥接VPN成功,個人是這樣操作 09/18 20:30
→ fonzae: win remote改port比較好,很多都是走預設,容易被猜中 09/18 20:31
→ fonzae: 個人建議走VPN就好,只需針對開啟的port去監管就好了 09/18 20:32
推 lusaka: 先設定好防火牆的policy 吧 09/18 23:24
推 kenwufederer: VPN加兩步驟驗證再開始做其他事情 09/19 12:22
→ kenwufederer: SSH跟RDP永遠不要直接對外,不要當第一層驗證 09/19 12:22
→ hhyu0627: VDI還不錯用,透過80/443 port就可以連了,安全又簡單 09/22 18:02