Мені потрібно віддалений робочий стіл в машину з іншої мережі, і наскільки я знаю два (найпростіших) рішення, які я маю - це використовувати переадресацію портів, або хамачі (або щось подібне).
Я припускаю, що переадресація портів відкриє віддалений робочий стіл для всього Інтернету, що може спричинити загрозу. Чи краще використання хамачі в цьому випадку використання?
Відповіді:
Загрози однаково великі.
І хамачі, і віддалений робочий стіл відкривають порт до Інтернету для підключення. Усі, хто знає правильні облікові дані, можуть потрапити.
Зважаючи на це, більшість людей не знають правильних облікових даних, і обидва хамачі (це в основному VPN) і віддалений робочий стіл дуже захищені. Якщо ви хочете додати шар безпеки до віддаленого робочого столу, ви можете скористатися принципом безпеки від Obscurity. В основному, ви використовуєте інший порт, ніж стандартний порт, і кожного разу, коли ви підключаєтеся, ви включаєте цей новий порт. Це потрібно встановити лише на місці маршрутизатора для переадресації портів.
Наприклад: Порт 33389 пересилає до ip ПК та порту 3389 вашого ПК.
Тепер, з будь-якого ПК, ви віддалений робочий стіл для свого ip: 33389. Наприклад: 123.45.67.89:33389
Той, хто не знає правильного порту, ніколи не дізнається, що стоїть за ним. Радимо робити цей новий порт будь-яким числом, яке ви хочете, поки воно перевищує 1023, оскільки це привілейовані порти і мають особливе значення. Порти вище все ще мають деякі часто використовувані, наприклад, 3389 за замовчуванням для RDP. Якщо ви хочете бути повністю безпечними, перейдіть вище 10000. Найбільша кількість, яку ви можете взяти, - 65535.
Хакер, який виконує портовий скан, сканує основні 1023 порти та необов'язково деякі загальні порти в розділі 1024-10000, наприклад 3389.
Обидва рішення однаково безпечні щодо протоколу, який вони використовують:
Увійти в систему - обидва вимагають введення імені та пароля, і обидва шифрують ці облікові дані під час входу.
Обидва рішення шифрують усі комунікації, так само, як і для VPN, тому вони обидва не вразливі для атаки "людина-в-середині".
Hamachi є менш захищеним в одному сенсі, оскільки ваші облікові дані зберігаються на їх сервері, тому безпечні лише до тих пір, поки їх не зламали або до тих пір, поки вони не використовують Snowden.
Дивіться ці посилання:
Топ-10 помилок протоколу RDP - частина 1
Топ-10 помилок у протоколі RDP - частина 2
Як увімкнути та захистити віддалений робочий стіл у Windows
У разі віддаленого робочого столу з пересилаються портом зловмисник повинен виграти з безпекою віддаленої робочого столу тільки .
У разі Hamachi зловмисник повинен виграти з безпекою, а потім з безпекою віддалених робочих столів ( так само , як описано вище) також .
Проста логіка: друга атака повинна бути як мінімум такою ж жорсткою, як сама частина, тобто перша. Якщо ви використовуєте незалежні облікові дані, то друга атака буде складніше.
Однак метод Хамачі може вважатися загрозою, оскільки у випадку, якщо ваш Хамачі потрапить до нападника, він може отримати доступ до інших служб (якщо такі є), незахищених самими собою, які ви ніколи не мали наміру відкривати для публіки.
Але якщо справа стосується лише віддаленого робочого столу, Hamachi забезпечить додатковий рівень захисту, що підвищить безпеку.