iT邦幫忙

0

資安問題- 改PORT建議在PC改還是防火牆改?

各位前輩好,小弟是IT新手,問的問題有點淺,還請見諒

因為公司遇到一個客戶需求,需要開放一台PC給客戶Remote進來更新資料
考慮資安疑慮,我知道有兩個改Port方式提供客戶remonte進來
情境如下:
PC內網IP:192.168.1.1
對外IP:10.1.1.1

案例1:
在PC上調整遠端桌面連線port,改成7788
在ACL上設定只允許通過7788 port可以remote進來
實際客戶只能透過10.1.1.1:7788才能remote

案例2:
PC遠端port不改,維持3389,在防火牆上設定NAT對應7788<->3389
在ACL上設定只允許3389 port可以remote進來
實際客戶只能透過10.1.1.1:7788才能remote近來

哪個案例會相對比較安全呢? 還是其實效果是一樣的?

看更多先前的討論...收起先前的討論...
zyman2008 iT邦大師 8 級 ‧ 2020-01-29 11:01:50 檢舉
改port也是會被掃到, 不要用NAT直接暴露 , 改用VPN撥進來.
走 VPN +1
jasonlin268 iT邦研究生 5 級 ‧ 2020-01-30 11:46:45 檢舉
建議可以鎖來源IP,在防火牆上設定只有客戶的對外IP才能連線進來。
tonylin8 iT邦新手 5 級 ‧ 2020-01-31 08:26:27 檢舉
使用防火牆ACL的方式比較好管理又比較安全!
ahwachen iT邦新手 4 級 ‧ 2020-02-03 15:10:41 檢舉
前面許多高手,都已經提供很好的建議
個人,建議再加一條
那台開放遠端的PC,在防火牆上,禁止連上外網。
(禁止連上外網,並不影響,外部連入該PC)
1
echochio
iT邦研究生 1 級 ‧ 2020-01-29 11:07:57
最佳解答

機器是否相當重要?
簡單方式是,請對方遠端你的的電腦,用 teamviewer 或 anydesk 這類的軟體

你的電腦應該可以遠端那台內部主機
請對方這樣操作

好處是你可看著對方操作,對方不會亂搞你的主機

改port 去 nat 轉 port 都可算安全,您還可鎖上對方ip 會更好

當然您看著他操作,主機密碼您也不必給廠商那是最好的

vc0528 iT邦新手 5 級 ‧ 2020-01-30 07:56:19 檢舉

常態性的, pc改port和防火牆放行該port+ip白名單
連線不常用就teamviewer

1
小魚
iT邦大師 1 級 ‧ 2020-01-29 07:54:13

聽起來好像差不多,
畢竟都不是預設Port.
不過10開頭的還是屬於內網吧,
你是怕自己人攻擊嗎?

看更多先前的回應...收起先前的回應...

太早惹ㄅ

因為我現在是自己用LAB在測試 NAT Port Forwarding的功能,就很直覺的把我用的情境IP打上來了~
感謝回覆~~

dragonH iT邦大師 1 級 ‧ 2020-01-29 15:48:50 檢舉

預設不預設其實不是重點

nmap 掃一下全部都出來了

我也是這麼覺得,其實掃port還是掃的到。我會再想想怎麼處理這個case比較好

小魚 iT邦大師 1 級 ‧ 2020-01-30 15:55:09 檢舉

如果真的要做到很安全,
聽說5,6台電腦連起來的防火牆也是不大夠,
看你們要的安全度和資訊人員有辦法做到的程度吧.
真的要很安全資訊人員又做不到,
就花錢找專業的幫忙做吧.

5
raytracy
iT邦大神 1 級 ‧ 2020-01-29 12:01:03

如果要談資安的話, 近五年的重大變革是:
Zero Trust (零信任), 內網即外網
Zero Trust Network:威脅無所不在,不輕易信任才能確保資安
用白話文講:

內網已經不再是可信任的環境, 每一個單一裝置都可能化身成為攻擊來源, 與她在內網或外網環境無關. 所以防禦不能只靠內外網區隔, 每一個裝置本身, 都要盡可能提高自己的防禦能力, 以抵抗來自鄰居的威脅.

即使不談五年來的變化, 推遠到十年前,
「縱深防禦 Defense in depth」也是重要的資安觀念:
以多層式縱深防禦架構迎戰APT
用白話文講:

世界上沒有一道超強防禦可以阻絕所有攻擊, 每一項防禦機制都會有她自己的弱點, 唯有層層堆疊各種不同的防禦機制, 才能將弱點曝險的機率降到最低. 順道一提, 在風險管理上, 沒有「零風險」這種結果, 凡事都一定會有發生風險的機率.

以上兩個是觀念, 要如何落實到你的環境? 你可以自行設計實作方法.

謝謝分享! 小弟會繼續精進!

我要發表回答

立即登入回答