我从 Stack Overflow 上来,心情很平静。我的专长是开发,我只懂基本的网络知识,所以请用外行人能理解的语言来讲。话虽如此,我打算聘请一名开发人员远程访问我的家庭服务器并进行开发。有几个原因让我希望开发人员在我的计算机上远程工作,而不是在他们的计算机上工作,但我现在先不透露这些细节。
以下是我目前所掌握的信息:
- Linksys 路由器后面的 Windows Server 2008 R2。
- 服务器上运行着 ClamWin 免费防病毒软件。
- 大多数默认的 Windows 设置:防火墙开启、UAC 等。
- 在我的路由器上打开了两个端口(1723 和 500),并在服务器上设置了一个 VPN 主机(以前从未设置过,但它似乎运行良好)。
- DynDNS 服务/客户端使我的动态 IP 保持静态。
- 服务器只能从网络内部进行 RDP 访问。
- VMWare Server 安装在主机服务器上;创建 Windows XP Pro VM 以在具有管理员权限的情况下进行开发,并从网络内部开启 RDP 访问。
因此,我对聘请开发人员的基本想法是:
- VPN接入网络。
- 通过 RDP 远程进入虚拟机。
这个设置听起来怎么样?我确信需要对虚拟机本身进行更多配置,因为我想将其与网络的其余部分隔离开来。任何提示或指示都会非常有帮助。
谢谢!
答案1
在一个有点相关的问题中这里大家似乎都同意,我们没有任何令人信服的理由担心主人会过度受到客人的攻击。
一个不错的步骤(如果可能的话,尽管似乎不太可能)是,如果您的开发人员可以在与 LAN 隔离的 VM 上进行工作。之后,您可以更改 VM 上的网络属性以连接到 LAN 来签入代码或诸如此类。
答案2
听起来你已经了解了所有基本情况。我只想指出几点:
决定是否使用 PPTP 或 IPSEC 作为 VPN,但不能同时使用两者。无论选择哪个,都请关闭另一个端口(1723 或 500)。
了解您的服务器(和内部网络)在设置上可以免受未知攻击者的攻击,但通过让开发人员加入,您就给予了他或她全权委托。您信任这个人吗?是否会有任何类型的保密协议、弃权书、无害条款等?
答案3
如果用户可以访问网络内的任何内容,那么就会存在安全风险。
我不知道您打算如何与开发人员进行设置,但您显然打算要求某种形式的 VPN 访问...这会提前与他们设置好吗,他们是否需要特殊的软件,或者......?
我们曾经使用过的一种方法是直接从互联网通过 RDP 连接到系统。它只需要打开一个端口,并且已经加密。这可能会让您和您的新员工的配置更加轻松。
我会尝试看看您是否可以获得(或拥有)支持创建 DMZ 的路由器。这意味着您将拥有一个局域网,其地址例如为 192.168.1.x,然后是另一个网络 192.168.254.x,您可以将系统保留在 192.168.254.x 端,而您的开发人员可以在 192.168.1.x 的机器上工作。这两个网络可以完全分开,他所在的系统永远不会看到来自您系统的流量,反之亦然,从而进一步隔离他。这比我能建议的大多数其他方法更安全。
我看到一些路由器支持这种功能,但使用 Linux 路由器之类的东西来安装它可能会很复杂(另外,如果您还没有这样的设备,您还需要一台带有三个网卡的廉价机器)。可启动的发行版(如 Smoothwall)可能已经支持此类功能。
我认为,最好的安全措施是隔离网络,而不会给您聘请的顾问带来太多不便,或许可以添加 Linux 系统(或类似 smoothwall 的系统)来处理某些路由,以便可以监控事情。
答案4
另一种选择可能是让他通过 GotoMyPC 或 Fog Creek Copilot 访问您的 VM。
这将为您省去网络设置的麻烦。