從外部透過port直接連內網RDP的安全性？

作者ifooleru (i服了u)

看板Network

標題從外部透過port直接連內網RDP的安全性？

時間Mon Aug 24 08:04:20 2020

是這樣的想到一個方法從網際網路來連接家裡內部的RDP桌面假設好了我家的公共ip(在防火牆)是1.1.1.1然後指定它的port號12345去轉換到內部一台電腦的windows RDP桌面192.168.1.1：3389 這樣就能從外面網際網路直接開RDP去連1.1.1.1：12345輸入帳密就存取我的遠端桌面那問題來了這時的存取安全性好像就只在輸入windows帳密這裏…除此之外好像沒別的方法可以提高安全性？鎖定外部可存取IP嗎？限制嘗試連線次數？用我說的這種方法連內網的桌面有什麼方法還能提高安全性呢 ----- Sent from JPTT on my Samsung SM-G973F. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.52.28.52 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Network/M.1598227462.A.5A6.html

→ deadwood: 防火牆設定外部可存取IP是個不錯的做法，也可以建VPN， 08/24 11:12

→ deadwood: 不要直接用轉port的方式對外提供連線 08/24 11:13

→ deadwood: 如果防火牆功能可以支援，就是IP限制、VPN、失敗次數限 08/24 11:15

→ deadwood: 制都一起做吧 08/24 11:16

推 birdy590: 直接對外開放是不得已才做的選擇限制存取IP未必可行 08/24 11:39

→ birdy590: 最正規的解是 VPN, 但門檻就會拉比較高 08/24 11:39

→ fonzae: 這要分兩個層面來說，一個是網路一個是系統 08/24 15:15

→ fonzae: 網路開PORT就會有風險，被掃PORT就有機會滲透 08/24 15:15

→ fonzae: 目前大多使用SSL VPN + CA，這是一個不錯的方法 08/24 15:16

→ fonzae: 若你的來源端是固定，也可以指定來源IP也是一種方法 08/24 15:17

→ fonzae: 不過個人推崇用SSL VPN+CA，CA就自我建立一個 08/24 15:17

→ fonzae: 只有匯入相同憑證的連線端方能進入 08/24 15:17

→ fonzae: 至於系統部分，hotfix不可少，event log要多看 08/24 15:18

→ fonzae: 在網路掃port，也能加入偵測機制，超過上限就一律封鎖七天 08/24 15:19

→ fonzae: 家用做到這樣子，應該算不錯了 08/24 15:20

→ s801107: 前陣子rdp才有漏洞 09/16 23:56

推 ptckimo: SSL VPN+CA,結案 09/29 19:51