V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shinichii
V2EX  ›  宽带症候群

在 Zerotier 内网里走 3389 是否可以裸奔?

  •  
  •   shinichii · 2022-12-03 22:52:51 +08:00 · 4011 次点击
    这是一个创建于 722 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在不做端口转发,以及修改默认 3389 端口号的基础上,是不是基本上可以认为足够安全了?

    13 条回复    2022-12-06 07:47:04 +08:00
    ymmud
        1
    ymmud  
       2022-12-03 23:00:02 +08:00
    Zerotier 记得是自带加密得
    zhaojjxvi
        2
    zhaojjxvi  
       2022-12-03 23:00:42 +08:00 via iPhone
    我觉得可以 以前就这么干的
    但速度感人 就换向日葵了
    Archeb
        3
    Archeb  
       2022-12-03 23:02:07 +08:00
    RDP 协议本身是支持 TLS 加密的,你如果安装了合法的域名证书就不会每次连接的时候都提示证书错误了。
    所以从这个角度来说 RDP 连接以及其上的数据即使是在公网他也是安全的。

    如果要从防止爆破的角度来说,如果没有暴露到公网,只在 ZeroTier 里面连接,确实足够安全了,都不需要修改 3389 端口。何况 ZeroTier 的数据传输也是加密过的,只要你 ZT 网内都是可信设备就是安全的。
    40EaE5uJO3Xt1VVa
        4
    40EaE5uJO3Xt1VVa  
       2022-12-04 00:24:00 +08:00
    是的

    除非你的 zerotier 局域网内有其他设备被入侵了。
    smallthing
        5
    smallthing  
       2022-12-04 02:43:19 +08:00
    @Archeb 并不是 RDP 本身有时候存在溢出漏洞 也就是你直接发送 poc 到 3389 端口即可 不需要解密
    momocha
        6
    momocha  
       2022-12-04 03:17:47 +08:00 via iPhone
    让 3389 只暴露在 zerotier 而且你的 zerotier 网内的机器都是可信的就是安全的
    LnTrx
        7
    LnTrx  
       2022-12-04 03:29:07 +08:00
    不建议单纯依赖内网来保证安全
    documentzhangx66
        8
    documentzhangx66  
       2022-12-04 04:48:01 +08:00   ❤️ 1
    从安全角度来说,只要 Zerotier 没被 0day ,那就可以。

    为了防止 0day ,一般情况下,VPN Server 的监听端,是需要套 2 种加密方案的。

    一旦通过加密方案,其实就没必要继续加密了,甚至可以反向连接。

    举个例子:

    1.公网有一台 VPN Server ,开放了所有端口。

    2.真正的业务端口,是需要根据日期,进行 hash ,来计算出正确的端口号。

    3.黑客不知道这个算法,连接了错误的端口号,直接被 Fall-1-Ban 。

    4.黑客侥幸猜对端口号,下一步仍然要 密码 + 邮箱验证码 + 短信验证码。

    5.黑客如果相对真正的端口号进行爆破,直接 Fall-2-Ban 。
    Archeb
        9
    Archeb  
       2022-12-04 09:56:51 +08:00   ❤️ 5
    @smallthing 首先,我认为不应该把 0day 攻击考虑进来,如果要考虑这个的话,任何协议的任何实现都“不安全”。不管什么软件都需要持续的更新打补丁才能保证相对安全。

    其次,这是 RDP 的实现有问题,而非 RDP 协议有问题。就像当年的 CVE-2014-0160 (心脏出血),这是 OpenSSL 这个 TLS 实现有问题,而不是 TLS 协议具有缺陷导致的。而除了微软 RDP ,市面上还有 xrdp 等第三方开源实现,楼主并没有指明是 Windows 上的 RDP 服务器实现。

    (> Wikipedia:因为缺陷在于 OpenSSL 的实现,而不是 SSL/TLS 协议本身,所以除了 OpenSSL 之外的其他 TLS 实现方式,如 GnuTLS 、Mozilla 的网络安全服务( NSS )和 Windows 平台的 TLS 实现都不受影响)
    shinichii
        10
    shinichii  
    OP
       2022-12-04 18:48:07 +08:00
    感谢几位认真回答……因为又开始居家办公,所以也就是想实现远程连单位 win 主机的目的,家有公网所以速度还可以,用 vnc 也不差,rdp 感觉体验更好。我额外又在防火墙规则里加了作用域限制了 ip ,如果没有 0day 或者内网被入侵,应该不用太担心了。
    goodryb
        11
    goodryb  
       2022-12-05 14:00:19 +08:00
    @shinichii #10 提个醒,连接单位的 win 主机建议采用公司 IT 提供的标准方法,具体方法不管是什么样的
    smallthing
        12
    smallthing  
       2022-12-06 00:01:45 +08:00
    @Archeb 说了半天不知道有何意义
    你还是无法否认一个 RDP 放公网和一个 UDP 端口 放公网 RDP 被 POC 的概率就是高
    zanzhz1101
        13
    zanzhz1101  
       2022-12-06 07:47:04 +08:00
    zerotier 开个私有网络不就行了,客户端需要手动允许入网的那种,总比公开的强
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5596 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 03:46 · PVG 11:46 · LAX 19:46 · JFK 22:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.