我需要从另一个网络远程桌面进入一台机器,据我所知,我有两个(最简单的)解决方案,一个是使用端口转发,另一个是使用 hamachi(或类似的东西)。
我猜想,端口转发会将远程桌面开放给整个互联网,这可能会造成威胁。在这种情况下使用 hamachi 是更好的解决方案吗?
答案1
威胁同样巨大。
Hamachi 和远程桌面都开放了一个端口供互联网连接。任何知道正确凭据的人都可以进入。
话虽如此,大多数人都不知道正确的凭据,而 hamachi(基本上是 VPN)和远程桌面都非常安全。如果您想为远程桌面添加一层安全性,可以使用“隐蔽安全”原则。基本上,您将使用与标准端口不同的端口,并且每次连接时都会包含该新端口。这只需要在路由器的端口转发处进行设置即可。
例如:端口 33389 转发到您电脑的 IP 和端口 3389。
现在,您可以从任何一台电脑远程桌面访问您的公共 IP:33389。例如:123.45.67.89:33389
不知道正确端口的人永远不会知道它背后的含义。建议将此新端口设置为任意数字,只要它大于 1023,因为这些是特权端口,具有特殊含义。上面的端口仍然有一些常用端口,例如 3389 是 RDP 的默认端口。如果想要完全安全,请超过 10000。最高数字是 65535。
执行端口扫描的黑客将扫描基本的 1023 端口,并选择性地扫描 1024-10000 部分中的一些常用端口,例如 3389。
答案2
就所使用的协议而言,这两种解决方案同样安全:
登录 - 两者都需要输入姓名和密码,并且在登录期间加密这些凭据。
这两种解决方案都对所有通信进行加密,与 VPN 相同,因此它们都不易受到中间人攻击。
从某种意义上说,Hamachi 不太安全,因为您的凭据存储在他们的服务器上,所以只有在他们没有被黑客入侵或没有雇用斯诺登的情况下才是安全的。
请参阅以下参考资料:
十大 RDP 协议误解 – 第一部分
十大 RDP 协议误解 – 第 2 部分
如何在 Windows 上启用和保护远程桌面
答案3
如果远程桌面带有转发端口,攻击者需要利用远程桌面安全性仅有的。
对于 Hamachi,攻击者需要先利用其安全性取胜,然后再利用远程桌面安全性(与上述相同)还。
简单的逻辑:第二次攻击至少要和它本身(即第一次)一样难。如果你使用独立凭证,那么第二次攻击会更难。
然而,Hamachi 方法可能被视为一种威胁,因为如果您的 Hamachi 落入攻击者手中,他或她可能会访问其他服务(如果有),而这些服务本身不受保护,而您从一开始就不打算向公众开放。
但如果仅涉及远程桌面,Hamachi 将提供额外的保护层,以提高安全性。