→ americ: 爬前幾篇文 好像要用 SSL VPN+CA 10/18 02:13
→ americ: 重點好像在CA 不知PORT的方式能用嗎? 10/18 02:24
→ tomsawyer: 你就不要用帳號密碼登入 改用cert+密鑰就變ssl vpn了 10/18 16:30
→ americ: 網路查是有VPN+CA的方式 可是怎麼樣把cert+密鑰 用在一般 10/18 16:53
→ americ: 網路芳鄰的帳號密碼連線呢?? 10/18 16:54
推 wasijimla: 網芳不要開對外,要連的時候先VPN回來再連,控管好VPN 10/18 19:07
→ wasijimla: 的連線就好 10/18 19:07
→ worldark: VPN弄到會被暴力破解也太鳥 10/19 10:33
如果只是帳密而已 那VPN也是一樣吧?
※ 編輯: americ (36.231.144.83 臺灣), 10/19/2020 12:13:58
→ fonzae: 都加上CA,除非對方也拿到同樣CA才能登入 10/19 16:55
我覺得CA是最低風險的, 可是開PORT好像目前還沒有搭配CA的方式...
→ fonzae: 不管你要用哪種方法,那都有風險,只是風險高跟低 10/19 16:56
→ fonzae: 而SSL VPN有所謂的加密協定,不是那麼容易破解 10/19 16:56
想請教, 一般密碼被破解的情況, 是暴力破解多, 還是被看明碼破解呢?
因為SSL就我知道好像是傳輸加密, 主要是防止被看明碼這部份
→ fonzae: 如果你很信任NAS OS層,你是可以直接開Port 10/19 16:57
請問可以舉例可能會有的問題嗎?
※ 編輯: americ (36.231.144.83 臺灣), 10/19/2020 19:38:52
→ fonzae: 暴力破解就是嘗試,開Port就有可能被這樣破 10/20 01:14
→ fonzae: 例如預設的Admin帳號,那麼就可以一直嘗試 10/20 01:14
→ fonzae: 或者利用本身NAS的尚未修補漏洞進行控制更改高權密碼 10/20 01:15
→ fonzae: SSL主要還是公鑰及私鑰認證 10/20 01:16
→ fonzae: 多一個因素那就是CA 10/20 01:16
→ fonzae: 會要你使用SSL VPN,主要在於多因素驗證 10/20 01:18
→ fonzae: 而不希望你開PORT直連NAS,主要在NAS廠商不一定會立即修補 10/20 01:18
→ fonzae: 之前監控設備集體攻擊某家平台導致癱瘓就是類似這種 10/20 01:19
→ fonzae: 監控設備版本過舊,被統一操控進行國內癱瘓攻擊 10/20 01:19
→ fonzae: 其次大多買這種監控設備鮮少會做到更新及外網禁連 10/20 01:20
謝謝f大 我對VPN概念淺 會再多研究...!
→ tomsawyer: 可是網芳有ca類的認證嗎 先不說windows ad/server 10/20 12:32
※ 編輯: americ (36.231.144.83 臺灣), 10/20/2020 20:48:11
→ deadwood: 只要是對外開放的服務包含VPN都可能被暴力嘗試啊 10/22 14:15
→ deadwood: 要說VPN一定比較安全那也未必,例如你用NAS內建的VPN 10/22 14:18
→ deadwood: 那不是等於把NAS直接對外了? 10/22 14:18
→ deadwood: VPN比較安全也是有前提的,那就是VPN伺服器是獨立的 10/22 14:19
→ deadwood: VPN server本身的軟體漏洞要修補、要防暴力嘗試、認證 10/22 14:20
→ deadwood: 機制要安全(憑證認證或多因素認證) 10/22 14:21
→ deadwood: 如果你直接把內部服務開port想做到安全也不是不行,但是 10/22 14:22
→ deadwood: 如果開的服務好幾個,也有不只一種系統,就會有漏洞來不 10/22 14:23
→ deadwood: 及補的問題,畢竟要維護的服務跟系統數量變多了 10/22 14:24
→ deadwood: 如果對外只用VPN,連上VPN才能存取內網服務,基本上只要 10/22 14:25
→ deadwood: 專心維護好VPN的安全就好,減少被攻擊的目標。 10/22 14:26