V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
abcfreedom
V2EX  ›  程序员

家庭局域网服务对外暴露,如何确保安全

  •  
  •   abcfreedom · 319 天前 · 4878 次点击
    这是一个创建于 319 天前的主题,其中的信息可能已经有所发展或是发生改变。

    家里有一些服务,比如 Nas 和各种虚拟机,为了方便在外面使用,我在内网搭了一个 ss ,外网通过 ss 协议连接到该服务,再进行局域网的访问。这个方案有一个风险点是,如果 ss 的密码暴露了,那么拿到密码的人就也可以访问家里局域网了。目前这套方案运行了两年多时间,可能没有出什么问题,也可能出了问题我没有察觉到。虽然局域网内的各个服务都有密码,但还是感觉不太踏实。

    想咨询一下 v 友们有没有什么安全策略,比如局域网的监控服务、或者其他更好的对外暴露内网服务的方案。

    41 条回复    2023-05-16 20:09:28 +08:00
    duduke
        1
    duduke  
       319 天前 via iPhone   ❤️ 1
    对外开放 vmess ,通过 vmess 回家,反正电脑手机都要开着科学
    yanyuechuixue
        2
    yanyuechuixue  
       319 天前
    用 tailscale 呀,其实现在由于有 ipv6 的原因,大部分设备都可以打洞直连。
    ysc3839
        3
    ysc3839  
       319 天前 via Android
    换 WireGuard 等基于非对称密钥认证的协议
    deplivesb
        4
    deplivesb  
       319 天前
    vpn 回家
    Jhma
        5
    Jhma  
       319 天前
    用 opnsense 防火墙简单配置一下 openvpn,能实现用户+密码+证书+APP 动态密码的高安全访问,其他 vpn 只要能拿到你的用户密码证书文件配置文件等就可以随意链接,是不安全的
    shangyu7
        6
    shangyu7  
       319 天前
    ss 够安全了吧?密码关了用证书呗
    sadfQED2
        7
    sadfQED2  
       319 天前 via Android
    内网开 v2 ,使用梯子服务器做分流。连上梯子以后,内网,墙外,大陆都能流畅连接
    esee
        8
    esee  
       319 天前
    @Jhma 用户密码证书就够安全了吧,还要动态密码最后黑客没来,防的全是自己
    Jhma
        9
    Jhma  
       319 天前
    @esee 你怎么知道黑客没来,高手都是很少有痕迹的,放个免杀的木马很轻松的事情
    blankmiss
        10
    blankmiss  
       319 天前
    tailscale 搭建私有 derp 服务器
    abelyao
        11
    abelyao  
       319 天前
    @Jhma #9 被你这么一说 害怕了,比直接格盘还吓人… 还是不开放了…
    Jhma
        12
    Jhma  
       319 天前
    @abelyao 嗯,尽量少开放端口给公网,说不定某些服务端口会有未被公开的漏洞,植入木马或者勒索病毒之类的就惨了
    0o0O0o0O0o
        13
    0o0O0o0O0o  
       319 天前 via iPhone
    @Jhma #9 每次在 v 站看到一些诸如“我很多年都是这样那样配置没被黑过”的发言,我也想问他们你怎么知道自己没被黑,难道黑客只是进来格盘大声嚷嚷的
    janzwong
        14
    janzwong  
       318 天前
    sslvpn 应该是相对更加安全的方式,还有你内网 ss 的服务器的端口开放情况要把控好,不要开放无用端口出去了,最好能起个防火墙搞个定时清理黑名单 ip 的策略。
    monkey110
        15
    monkey110  
       318 天前
    目前个人在用的方案是华硕路由开 openvpn,防火墙放行指定端口,用群晖自家 ddns(可以 https 访问)反代群晖和内网部分服务,vpn 和 ddns 配合使用,强密码二部验证是基操。

    另外使用何种组网软件能用最新版的就用最新版的,防止漏洞类。
    我就是用的 nps 然后作者不更了,被从漏洞进来裸奔了两年之久,直到最近才发现。
    详见 https://www.v2ex.com/t/939787
    wogjdjaj
        16
    wogjdjaj  
       318 天前 via Android
    只要联网就没有安全可言
    多备份 少开放太多服务和端口
    1521815837
        17
    1521815837  
       318 天前
    疑人不用用人不疑呗移动硬盘又不贵
    winson030
        18
    winson030  
       318 天前 via iPhone
    推荐 Tailscale ,稳
    JayZXu
        19
    JayZXu  
       318 天前
    tailscale, zerotier 。组虚拟局域网,不需要对外开端口也能用了
    a632079
        20
    a632079  
       318 天前
    😨同楼上,为啥不用 VLAN 终端?比如 tailscale 、zerotier ?
    如果担心中心节点的问题的话,可以直接用 tailscale 的非官方开源控制服务器 headscale 的。
    leaflxh
        21
    leaflxh  
       318 天前
    自己写个 port knocker ,手动操作,ip to ip 防火墙放通
    tyhunter
        22
    tyhunter  
       318 天前
    我是 IPV6 DDNS+端口转发+SS ,SS 用的大小写+字符,除非主动泄露
    如果还想加强安全,可以考虑搭建一台跳板机转发 SS 请求?
    设备-->跳板机转发-->本机端口转发(白名单只接受跳板机 IP)-->SS 端口
    但这样速度就不如直接 DDNS 来的直接了
    yaott2020
        23
    yaott2020  
       318 天前 via Android
    wireguard 回家,安全性速度兼有
    abcfreedom
        24
    abcfreedom  
    OP
       318 天前
    @duduke 话说开放 vmess 和开放 ss 安全性是不是一样呢
    abcfreedom
        25
    abcfreedom  
    OP
       318 天前
    @yanyuechuixue
    @ysc3839
    @deplivesb
    @Jhma
    @shangyu7
    @sadfQED2
    @blankmiss
    感谢大佬们的建议,我去调研一下
    abcfreedom
        26
    abcfreedom  
    OP
       318 天前
    @janzwong 学到了,目前是只开放了 ss 的端口到公网,黑名单 ip 之前还没太搞过,我去查查,感谢大佬
    deplivesb
        27
    deplivesb  
       318 天前
    @yaott2020 我这 wireguard 回家速度很慢,udp 的包经常被 QOS
    abcfreedom
        28
    abcfreedom  
    OP
       318 天前
    @monkey110 感谢,我目前用的 ikuai 的系统做主路由,对外开放了 ss 的端口~ 之前在公有云服务上用一键脚本搭建服务,也碰到过被黑的情况,确实挺坑的,当时我的服务器被拿去恶意乱发邮件,以至于被云服务商强制关了😂
    abcfreedom
        29
    abcfreedom  
    OP
       318 天前
    @winson030
    @JayZXu
    @a632079
    学到了,看到好多大佬推荐 tailscale ,之前对这块没太了解,是时候补补课了
    abcfreedom
        30
    abcfreedom  
    OP
       318 天前
    @tyhunter
    @leaflxh
    @yaott2020
    感谢建议~
    FrankAdler
        31
    FrankAdler  
       318 天前 via iPhone
    定期更换密码 我觉得 ss 就足够了
    baobao1270
        32
    baobao1270  
       318 天前
    SS 密码用 128 位随机字符串,怎么暴露?
    除非主动泄露,比如不小心分享出去二维码。否则以现在的密码学设计,除非对方使用量子计算机,或者协议实现上有 0day ,否则不会有问题
    当然也可以用 ZeroTrust 的思想,所有需要上公网的都直接上公网,强制 GitHub OAuth 登录+YubiKey 验证
    azure2023us559
        33
    azure2023us559  
       318 天前
    docker
    azure2023us559
        34
    azure2023us559  
       318 天前
    ss 换 wireguard , listen on ipv6 443 udp
    abcfreedom
        35
    abcfreedom  
    OP
       318 天前
    @FrankAdler
    @baobao1270
    @azure2023us559
    学到了 感谢大佬们,准备 ss 换个密码先用着,有空了折腾一下 tailscale 和 wireguard
    hezhile
        36
    hezhile  
       318 天前
    zerotier +1
    superchijinpeng
        37
    superchijinpeng  
       318 天前
    Tailscale ,也可以用 Cloudflare Tunnel
    esee
        38
    esee  
       318 天前
    @Jhma 你也说了没有痕迹,那你加了动态密码就能知道黑客没来过?安全都是相对的,你给门加了几百把锁,结果门和墙连接不牢固直接把门踹开了不也一样入侵,最后防的都是自己。
    Jhma
        39
    Jhma  
       318 天前
    @esee 至少二次认证是公认的比没有二次认证的安全,各大安全厂商也力推二次认证系统,简单的说,我明明有技术可以自己动手加锁,为何不加!
    troilus
        40
    troilus  
       317 天前
    用 vmess ,配合规则
    hauzerlee
        41
    hauzerlee  
       317 天前
    不是非要立刻马上就访问到的话,还可以利用一些黑客也常用的手段。比如写段程序抓取你的微博之类的能公开发出的信息,抓到短时间内特定的暗号,才把家里的 ss 打开,用完关闭,其他时间都是关闭的。减少对公网暴露的时间。

    技术细节方面的话,就是这个暗号也用动态的,两边同时生成,用于对比和校验。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5355 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 08:01 · PVG 16:01 · LAX 01:01 · JFK 04:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.