V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
doveyoung
V2EX  ›  程序员

讨论向-在公司时,访问 IDC 设备是否真的需要虚拟专用网络

  •  
  •   doveyoung · 2020-05-07 10:44:49 +08:00 · 2342 次点击
    这是一个创建于 1655 天前的主题,其中的信息可能已经有所发展或是发生改变。
    1. 公司内部网络是安全的
    2. 堡垒机有帐号认证
    3. 有防火墙
    4. 公司有固定公网 IP

    主流好像都是需要,但是最近在考虑真的需要吗,不知道是不是我漏了什么关键点

    第 1 条附言  ·  2020-05-07 13:44:53 +08:00
    感谢各位的建议
    首先堡垒机是有两步验证的,是我没提到
    关于“公司内部网络是安全的”这个点,假设不安全,即使用了 vpn 也会存在 key 被盗取的现象吧

    我其实比较倾向 8 楼的看法,专注于公司办公网络和 IDC 之间的通信,做好访问控制,特别需要的,才会使用 vpn
    18 条回复    2020-05-08 15:04:15 +08:00
    jzphx
        1
    jzphx  
       2020-05-07 10:54:02 +08:00
    光 134 就能做到很安全了。很多小公司没这条件,也不整虚拟专用网络,ssh db redis 端口全部向公网暴露,然后还有猪队友泄露在 github 上。
    defunct9
        2
    defunct9  
       2020-05-07 11:12:48 +08:00
    不需要
    amaranthf
        3
    amaranthf  
       2020-05-07 11:29:59 +08:00
    1 和 3 并不完全可靠,而 vpn 的登录通常会需要员工专用的帐号密码,相当于再加一层安全措施,并不是没有用的。这就跟安保级别很高的地方,需要多个人的多把钥匙一样。
    当然安全性和易用性肯定是负相关的,怎么平衡就看各公司怎么处理了。
    Renylai
        4
    Renylai  
       2020-05-07 11:36:28 +08:00   ❤️ 2
    一般问题都出在 1
    realpg
        5
    realpg  
       2020-05-07 11:49:48 +08:00
    全部管理暴露公网的飘过……
    这样才能促进更安全
    Sk3y
        6
    Sk3y  
       2020-05-07 11:52:00 +08:00
    2 再加个 MFA 吧
    ragnaroks
        7
    ragnaroks  
       2020-05-07 11:54:03 +08:00
    @Renylai +1,而且根据我的经验,这是最大的漏洞
    swulling
        8
    swulling  
       2020-05-07 11:55:43 +08:00
    公司办公网:通过堡垒机访问 IDC 网络
    外网:VPN 先拨入办公网,然后再通过堡垒机访问 IDC 网络

    堡垒机按照安全规范不能依赖于固定的账号密码,而是需要开启两步认证( RSA Token 、手机短信、IM 通知、扫码认证等均可)
    huangmingyou
        9
    huangmingyou  
       2020-05-07 11:56:18 +08:00
    遇到过两次开发人员下载盗版 ssh 工具,被后门的情况
    ohao
        10
    ohao  
       2020-05-07 11:56:39 +08:00
    需要
    安全只是其一,有些公司需要做安全和行为审计,合规性,在专用网络层会记录信息
    janus77
        11
    janus77  
       2020-05-07 13:48:18 +08:00 via iPhone
    你把 1234 合在一起,这些条件是不是 vpn 就可以都满足了?
    所以如果某些公司没有你这个条件,是不是就用 vpn 就可以解决所有问题了?
    JoeoooLAI
        12
    JoeoooLAI  
       2020-05-07 15:13:39 +08:00
    内网才是最大威胁,做好用户行为管理,在有防火墙,端口不乱开,密码强度够且经常更改,防毒软件别省钱的情况下,其实足够安全。当然有能力套虚拟专用网 那是最好,减少开放端口的风险。
    doveyoung
        13
    doveyoung  
    OP
       2020-05-07 15:21:50 +08:00
    @janus77 #11 好像是这样没错。。可是我有 1234 啊~所以是不是就没必要上那个了……

    @JoeoooLAI #12 “套虚拟专用网最好”这里其实就是我的疑问,有必要吗,感觉像是在锁外面加了一个锁
    janus77
        14
    janus77  
       2020-05-07 15:59:10 +08:00
    @doveyoung #13 理论上是这样,不过呢,安全总是和便捷冲突的,不排除某些公司要求的安全等级比较高……另外也有某些领导思维独特的因素
    eGlhb2Jhb2Jhbw
        15
    eGlhb2Jhb2Jhbw  
       2020-05-07 16:22:50 +08:00
    我提一个假设,1234 安全度是 90%,加上 vpn 安全度是 99%。你觉得你会怎么选?

    ps:内部网络安全不要太依赖,总有人在做某些操作的时候忘记了安全。
    xuanbg
        16
    xuanbg  
       2020-05-07 16:24:47 +08:00
    内部网络不安全的呀,你的同事电脑上面不知道有多少木马呢。
    doveyoung
        17
    doveyoung  
    OP
       2020-05-08 11:14:51 +08:00
    @xuanbg #16 如果他的电脑上有木马,用不用 vpn 都一样吧……
    ps1aniuge
        18
    ps1aniuge  
       2020-05-08 15:04:15 +08:00
    -------linux------
    服务器 SSH 端口被不断试探登录,怎么防护?
    答:
    我 at 所有看帖人,我用 powershell 写了一个工具《弹性 sshd 端口》,
    入 qq 群,183173532,,1 元辛苦费找我购买。
    写作目的:
    1 富强。
    2 防止黑客从端口穷举密码。

    脚本特性:
    1 弹性 sshd 端口,随机 n 分钟,更换端口。
    2 用 powershell 在客户机输出弹性端口,你就可以用 plink 连接此端口。

    系统需求:
    1 支持 opensshd,支持 dropbear 。支持 linux,支持 win,但你需要告诉我你的 sshd_config 的位置。
    2 必须在服务端,客户端安装 powershell 。对于 win 服务端,客户端,这不是问题。因为系统已经集成 powershell 了

    -------win-------
    如何增加 winrm 远程命令行的安全?
    答:
    winrm 默认使用 http+5985 端口,密码传输加密,数据、命令传输明文。
    有被人窃取机密,和插入攻击命令的风险,也就是所谓的中间人攻击。不过呢,其实问题不大。
    解决的话,启用 https 版的 winrm,或者在 http 外面套上 vpn 即可。
    强调一遍:win2012r2,win2016,win2019 默认开启这种 http 的 5985 端口。
    如何建立证书并使用呢?请看走进 winrm 之 4 个安全级别!
    https://www.cnblogs.com/piapia/p/11897713.html
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2625 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 04:52 · PVG 12:52 · LAX 20:52 · JFK 23:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.