V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lwp2070809
V2EX  ›  程序员

求一个安全的 RDP 内网穿透方案

  •  1
     
  •   lwp2070809 · 2020-07-22 14:14:14 +08:00 · 10269 次点击
    这是一个创建于 1586 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天刚打算把公司(国企)的办公电脑使用 RDP+FRP 内网穿透出去, 方便回家办公, 就看到了这个贴子 /t/692012 , 瑟瑟发抖, 遂放弃公司电脑内网穿透的想法, 但是偶尔也有远程控制家中电脑的需求, 于是求一个较为安全的解决方案.
    我记得 FRP 支持 STCP 和口令, 是否足够安全?
    RDP 有没有类似于 Linux SSH 的 RSA 密钥对认证方式并禁用密码登录? 目前我在局域网内登录 RDP 的方式是通过微软账号.
    还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢...
    另外由于经常更换地点, 所以不考虑 IP 白名单访问的方式.
    最后心疼一波 teamviewer, 公司规定办公电脑只能用向日葵远程并 url 过滤了 teamviewer, 一问信息安全中心果然是之前那件破事...

    63 条回复    2021-02-23 16:24:06 +08:00
    chuckzhou
        1
    chuckzhou  
       2020-07-22 14:39:53 +08:00
    用 SSH 开一个 SOCKS5,然后用 MultiDesk 连接 RDP,这个软件支持 SOCKS5 代理。
    xcodeghost
        2
    xcodeghost  
       2020-07-22 14:40:44 +08:00   ❤️ 3
    既然在国企,建议向 IT 申请合法的方式,如果不批,建议放弃吧。
    lwp2070809
        3
    lwp2070809  
    OP
       2020-07-22 14:45:40 +08:00
    @chuckzhou #1 谢谢, 我试用一下这个软件
    lwp2070809
        4
    lwp2070809  
    OP
       2020-07-22 14:46:46 +08:00
    @xcodeghost #2 我已经放弃了内网穿透公司电脑的想法, 老老实实用公司规定的向日葵了, 现在是想考虑内网穿透家里电脑的方案.
    wangxiaoaer
        5
    wangxiaoaer  
       2020-07-22 14:49:28 +08:00
    一直用 Teamview,没啥问题啊。
    lwp2070809
        6
    lwp2070809  
    OP
       2020-07-22 14:51:46 +08:00
    @wangxiaoaer #5 在我这边可能是由于地区或者运营商的问题, teamviewer 非常的卡, fr 穿透就很流畅, 但是今天看到 v 站的贴子吓得我马上把家里电脑的 frp 给关了
    CallMeReznov
        7
    CallMeReznov  
       2020-07-22 14:58:45 +08:00
    不懂就问,我在用的 SAKURAFRP 里面为什么没有这个模式呢?
    yujiang
        8
    yujiang  
       2020-07-22 14:59:53 +08:00
    可以用下蒲公英,P2P 模式还是挺快的
    zmj1316
        9
    zmj1316  
       2020-07-22 15:25:07 +08:00 via Android
    ms 的 rdp 自带一个 gate 功能吧
    hiplon
        10
    hiplon  
       2020-07-22 15:29:44 +08:00
    试试 Apache Guacamole ?
    joesonw
        11
    joesonw  
       2020-07-22 15:35:17 +08:00
    用 wireguard 建立对等连接后, 再 rdp?
    kenshin912
        12
    kenshin912  
       2020-07-22 15:36:21 +08:00
    我之前的解决方案是 NAT 出去的 , 不过工作时间只允许内网地址连接 3389 , 其他时间允许任意地址连接 3389 , 不过非工作时间默认是关机状态 , 需要先唤醒电脑再连接.
    唤醒是通过映射一台服务器的 UDP 9 端口出去做的. 机器需要 MAC 地址绑定. 否则可能唤醒失败.
    Phant0m
        13
    Phant0m  
       2020-07-22 15:37:35 +08:00 via iPhone
    fwknop 了解一下( port knocking ), 默认开起五分钟,已经链接上的不会被断开,五分钟后自动删除防火窗规则。
    robertluo11
        14
    robertluo11  
       2020-07-22 15:46:12 +08:00
    我公司产品,remote express
    toou123
        15
    toou123  
       2020-07-22 15:47:09 +08:00
    自建 frps,用的时候开端口,不用了把端口关掉……
    robertluo11
        16
    robertluo11  
       2020-07-22 15:48:20 +08:00
    009694
        17
    009694  
       2020-07-22 15:50:10 +08:00
    自带穿透的远程桌面:teamview 向日葵
    虚拟局域网:zerotier-one openvpn tinc Nebula
    cjpjxjx
        18
    cjpjxjx  
       2020-07-22 15:52:25 +08:00
    贴子说的不是因为服务器数据库密码太简单导致的吗,这和 frp 有什么关系
    jfdnet
        19
    jfdnet  
       2020-07-22 16:04:12 +08:00
    我用 zerotier 现在也挺快的了。
    shoreywong
        20
    shoreywong  
       2020-07-22 16:29:19 +08:00 via iPhone
    @cjpjxjx #18 对 我是因为 3306
    sikeerwei
        21
    sikeerwei  
       2020-07-22 16:30:11 +08:00
    就用向日葵呗,向日葵也挺快的
    privil
        22
    privil  
       2020-07-22 17:01:11 +08:00
    stcp 外加加密已经足够安全了。
    lwp2070809
        23
    lwp2070809  
    OP
       2020-07-22 17:01:22 +08:00
    @yujiang #8 之前贴子里面有 SAKURAFRP 前站长可以问问
    lwp2070809
        24
    lwp2070809  
    OP
       2020-07-22 17:02:49 +08:00
    @cjpjxjx #18
    @shoreywong 20
    抱歉看走眼了, 我还以为是攻击者通过 frp 拿到服务器访问权限, 然后再攻击数据库的, 原来是直接穿透 3306 端口
    lwp2070809
        25
    lwp2070809  
    OP
       2020-07-22 17:03:42 +08:00
    感谢诸位回复, 我会逐一尝试这些方案的
    hoyixi
        26
    hoyixi  
       2020-07-22 17:07:56 +08:00
    回家办公是加班吗? 何苦呢
    yujiang
        27
    yujiang  
       2020-07-22 17:34:59 +08:00
    @lwp2070809 回错人了
    ysc3839
        28
    ysc3839  
       2020-07-22 17:49:48 +08:00 via Android
    rdp 协议本身有 TLS 加密,记一下家里电脑中证书的指纹,连接时确认一致即可确保安全。
    openbsd
        29
    openbsd  
       2020-07-22 17:53:22 +08:00
    为什么不 VPN ?
    xupefei
        30
    xupefei  
       2020-07-22 17:55:56 +08:00 via iPhone
    用 ssh 隧道或 vpn 呗。用一些五花八门的没经过安全审计的方式不害怕吗?
    mxalbert1996
        31
    mxalbert1996  
       2020-07-22 18:00:13 +08:00 via Android
    muskill
        32
    muskill  
       2020-07-22 18:01:14 +08:00
    那个跟 frp 关系不大啊,自己通过 frp 将数据库的端口映射出去,密码设置还那么简单,这能怪谁....
    tanghongkai
        33
    tanghongkai  
       2020-07-22 18:05:14 +08:00
    @lwp2070809 规定向日葵就向日葵咯,又不是不能用
    FlintyLemming
        34
    FlintyLemming  
       2020-07-22 18:07:08 +08:00
    个人觉得,是否配置 rdp 连接证明书的重要性可能更大
    qwerz
        35
    qwerz  
       2020-07-22 18:11:40 +08:00
    ssh 隧道+ssh 证书登录+ssh 随机高端口
    d5
        36
    d5  
       2020-07-22 19:06:21 +08:00
    国企都有自己的 vpn 硬件吧,别自己瞎搞
    m2276699
        37
    m2276699  
       2020-07-22 19:11:57 +08:00
    frp 的 stcp 可解决,需要密钥才能互访
    sidkang
        38
    sidkang  
       2020-07-22 21:03:34 +08:00
    yep,stcp 模式即可
    P0P
        39
    P0P  
       2020-07-22 21:26:59 +08:00
    可以用 wireguard 组成私有局域网,所有内部服务都监听在 wireguard 网络上的端口,接入你的 wireguard 网络的机器之间可以互相无缝访问
    HFX3389
        40
    HFX3389  
       2020-07-22 22:21:07 +08:00
    frp 冤枉啊....自己仅仅是一个端口映射而已....

    那个帖子是因为楼主自己把 3306 映射到外网又以弱密码作口令,不被黑我才觉得不正常

    (之前好像 B 站有个 UP 主的 NAS 也是这样直接暴露在外网导致整个 NAS 还是整个内网都被勒索病毒加密了)

    我现在用 frp 把 3389 映射到公网服务器的 20000 以上端口,每天看日志,啥问题都没有
    JamesR
        41
    JamesR  
       2020-07-22 23:35:24 +08:00
    我直接 VPN 回家,啥事没有。
    tinkerer
        42
    tinkerer  
       2020-07-22 23:36:14 +08:00
    nebula
    wxch111vv
        43
    wxch111vv  
       2020-07-23 00:12:46 +08:00 via Android
    家用宽带申请公网 ip 挂 openvpn 就行了
    laminux29
        44
    laminux29  
       2020-07-23 00:34:41 +08:00
    题主还是没看懂那个帖子。

    那个帖子,与 frp,与 3306 映射,毫无关系,而是与弱密码有关系。

    使用弱密码,你的隧道方案再安全也没用。

    我同事 16 位高度安全的混合密码,直接映射 Win 远程桌面 3306 到公网,十几年毛事没有。
    zhhww57
        45
    zhhww57  
       2020-07-23 03:02:52 +08:00
    我有个方案,可以不开放任何端口,但是有概率穿透不成功,用 softether 的 nat-t 穿透协议,记一下电脑的主机名,搬个 ddns,无需公网 ip,只需要取个奇葩点的主机名和 ddns
    zhouzm
        46
    zhouzm  
       2020-07-23 07:32:33 +08:00
    如果有服务器 ssh 权限的话,推荐使用 Jump Desktop,它支持通过 ssh 隧道访问局域网的 vnc 、rdp
    tril
        47
    tril  
       2020-07-23 09:04:10 +08:00
    这种活交给 vpn,像 openvpn 可以下发自定义路由表,办公电脑 24 小时挂着都没事。
    ruzztok
        48
    ruzztok  
       2020-07-23 09:17:17 +08:00
    wireguard
    kruskal
        49
    kruskal  
       2020-07-23 09:46:15 +08:00
    https://github.com/DigitalRuby/IPBan/releases
    配置好 IPBAN 防暴力破解
    P0P
        50
    P0P  
       2020-07-23 10:31:00 +08:00
    直接对公网暴露任何端口都是不安全的,无所谓是 3306 还是 3389 还是 22,你怎么能确保这个 server 软件没有漏洞呢?像 rdp 的 0-day 之前又不是没有过,有这些漏洞的时候就跟你的密码和验证方式无关了,直接用漏洞就能穿透 server 远程执行命令。要想安全,还是要最小化暴露面,vpn 虚拟网肯定是较优的方案。
    youyoumarco
        51
    youyoumarco  
       2020-07-23 10:36:03 +08:00
    国企还是老老实实找 IT 解决吧
    leapV3
        52
    leapV3  
       2020-07-23 10:49:00 +08:00
    端口扫描+暴力穷举
    只要你开放公网,就会有人扫描;万一爆破了,责任全在你身上
    lewis89
        53
    lewis89  
       2020-07-23 10:56:50 +08:00
    openvpn + 路由表 一直都是这种方法..
    lewis89
        54
    lewis89  
       2020-07-23 10:59:16 +08:00
    @leapV3 直接放公网是真的傻,不管你密码多复杂,绝对有人愿意爆破你的,我之前路由器 22 在外网 每天几十万次的爆破,吓得宝宝立马放进内网,用 openvpn 回家了
    takemeaway
        55
    takemeaway  
       2020-07-23 11:04:17 +08:00
    老老实实用 QQ 远程桌面吧。
    教你自动化操作:申请一个新 QQ 只加你自己,远程电脑上登录好,编写一个脚本自动接受远程桌面请求。是不是很爽~ 哈哈
    ulpyxua
        56
    ulpyxua  
       2020-07-23 11:25:07 +08:00
    QQ 远程不行,QQ 的很多遇到权限的界面无法操作。
    secaas
        57
    secaas  
       2020-07-23 11:32:26 +08:00
    还有 RDP 真的那么不安全的话公网上那么多采用账号密码验证的 RDP 协议 Win Server 为啥这些就没事呢...
    ----------
    先问是不是,再问为什么。不知道收到多少起客户因为把 windows 映射到公网然后被勒索的案例了;
    如果真的是刚需,可以去马云家搜索:向日葵 无网远程
    目前来看还是比较安全的,除非向日葵 server 被爆了就没办法了
    monkey110
        58
    monkey110  
       2020-07-23 16:43:25 +08:00
    照用 frp 就行 我的办法是平时 teamview 常驻 用的时候启动 frp 内网穿透 3389 不用的时候就关掉 frp 简单安全
    284716337
        59
    284716337  
       2020-07-23 18:23:20 +08:00
    公司的 vpn
    ChangHaoWei
        60
    ChangHaoWei  
       2020-08-21 16:35:23 +08:00
    ssh 端口转发不香吗?
    hanssx
        61
    hanssx  
       2021-02-22 13:58:35 +08:00
    @tril

    @P0P

    @lewis89

    大哥们,openvpn 没办法远程控制电脑吧,只能进内网。。
    lewis89
        62
    lewis89  
       2021-02-22 14:03:58 +08:00   ❤️ 1
    @hanssx #61 都进内网了 你还要怎么样... vnc rdp 随便你自己选不就好了
    tril
        63
    tril  
       2021-02-23 16:24:06 +08:00
    @hanssx vpn 是为了解决他担心 rdp 不安全这个问题。在 vpn 里,远程自然是用 rdp 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6099 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 02:36 · PVG 10:36 · LAX 18:36 · JFK 21:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.