V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ttgo
V2EX  ›  宽带症候群

公网 ip,需要做什么安全防范措施么?

  •  
  •   ttgo · 2022-05-03 12:52:09 +08:00 · 10871 次点击
    这是一个创建于 939 天前的主题,其中的信息可能已经有所发展或是发生改变。
    家里成了公网 ip ,方便是方便了,

    但毕竟直接暴露在公网里,需要做什么安全防范措施么??
    41 条回复    2024-03-02 02:42:17 +08:00
    herozzm
        1
    herozzm  
       2022-05-03 12:57:10 +08:00
    关闭没有必要的端口,防火墙还是要的
    cathiabi
        2
    cathiabi  
       2022-05-03 12:58:29 +08:00
    先扫一遍端口,看看有的服务是否都是自用且必须的,是否没有裸奔且服务本身足够安全。UPNP 确认好要不要开。
    wzky
        3
    wzky  
       2022-05-03 13:44:23 +08:00   ❤️ 1
    最重要的就是不要使用弱口令分分钟破解,而且还开启了远程桌面连接,血的教训!
    disk
        4
    disk  
       2022-05-03 14:16:23 +08:00
    网关 nat ,通过带认证的隧道接入或转发服务访问内网应用,是相对安全性最高的。如果应用直接暴露于公网,最好有一定的隔离措施。
    acbot
        5
    acbot  
       2022-05-03 15:01:39 +08:00
    只要你没做过什么,就什么也不需要做!
    ericbize
        6
    ericbize  
       2022-05-03 15:12:02 +08:00   ❤️ 1
    防火墙,入口要一个开一个, 不要用弱口令。
    nonwill
        7
    nonwill  
       2022-05-03 15:20:51 +08:00
    “只要你没做过什么,就什么也不需要做!”

    十分认同
    ttgo
        8
    ttgo  
    OP
       2022-05-03 15:37:00 +08:00
    @herozzm @ericbize @cathiabi
    防火墙是指路由上的防火墙么?就是普通家用路由,没啥复杂功能。。该怎么做呢?
    端口用一些 online port scanner 从外面扫了一遍,状态都是 filtered ,应该是被过滤掉了吧。
    ttgo
        9
    ttgo  
    OP
       2022-05-03 15:37:38 +08:00
    @acbot @nonwill
    我目前就映射了一个端口,远程桌面用。
    @wzky
    windows 账号密码挺强的。。
    a8Fy37XzWf70G0yW
        10
    a8Fy37XzWf70G0yW  
       2022-05-03 15:45:29 +08:00 via Android
    1.只開放需要的服務至外部。
    2.開放至外部的服務均須使用強健的驗證措施。(例如強度足夠的密碼或者密匙)

    對於普通家用來說這些就足夠了。
    pcbl
        11
    pcbl  
       2022-05-03 15:49:27 +08:00 via Android
    只开放 vpn 服务,其他到 wan 口的全部拒绝
    jjxtrotter
        12
    jjxtrotter  
       2022-05-03 15:56:58 +08:00
    @ttgo 远程桌面默认端口建议改掉,可以避免不少麻烦
    aru
        13
    aru  
       2022-05-03 16:11:46 +08:00
    windows 的远程桌面要记得经常给 windows 打补丁
    我之前有一个复杂密码的 windows 远程就是因为漏洞被入侵挖矿了
    然后机箱散热不好,主板发出声音报警被我很快发现的
    kmvvv
        14
    kmvvv  
       2022-05-03 16:26:57 +08:00 via iPhone   ❤️ 2
    1.关闭 upnp
    2.关闭从 wlan 链接管理路由器
    3.不要打开 ssh 登录路由器
    4.尽量关闭所有端口映射,尤其不要打开 windows 远程的映射
    5.开启防火墙,禁止 ipv6 从外网主动发起链接
    6.尽量采用 VPN 方式连接,而不是直接暴露服务
    7.如果还有条件,可以考虑划分 vlan ,部署入侵检测系统,收集访问信息,攻击日志,图表显示方便监控。
    MajestySolor
        15
    MajestySolor  
       2022-05-03 16:32:51 +08:00
    杞人忧天
    binaryify
        16
    binaryify  
       2022-05-03 17:11:45 +08:00
    其实还好,公网 IP 会不定期动态变化
    yzc27
        17
    yzc27  
       2022-05-03 17:24:33 +08:00
    顺路借问一下,公网 ip ,只留 openvpn 的五位数的高位端口,这样安全性足够吗? openvpn 会容易被爆破吗?
    simplove
        18
    simplove  
       2022-05-03 17:28:16 +08:00
    有什么不安全的,路由器不是有一层 NAT 吗?你的电脑又不是直接配的公网 IP
    dream7758522
        19
    dream7758522  
       2022-05-03 18:39:23 +08:00 via Android
    用完记得拔网线
    acbot
        20
    acbot  
       2022-05-03 19:18:30 +08:00
    @ttgo 公网开非常用端口,禁用 Administrator 等系统默认用户,有条件的话限定一下访问源 IP 范围。这些做好了基本可以防止 90%以上的安全问题。剩下 10%的安全问题,一般在没有价值的电脑上也不会发生。
    Sekai
        21
    Sekai  
       2022-05-03 21:47:38 +08:00
    没有
    zenben
        22
    zenben  
       2022-05-03 22:16:43 +08:00 via iPhone
    可以通过路由器映射端口,即用即开,并限制开放端口
    aaa5838769
        23
    aaa5838769  
       2022-05-03 23:20:16 +08:00
    防火墙配置对外开放的端口的白名单策略就可以了。
    testver
        24
    testver  
       2022-05-03 23:25:37 +08:00   ❤️ 2
    平时光猫断电,有上网需求再通电,用完记得断电。
    luny
        25
    luny  
       2022-05-03 23:31:21 +08:00
    常规功能端口能换的,尽量更换成自定义,远程 ssh 登陆不需要不要开,开的话,不要用默认 22 端口,5 位数配置,密码复杂度尽量高,常规端口每天在公网上,都有大量的扫描,尝试登陆,即使破不了,也会影响主机性能。
    IvanLi127
        26
    IvanLi127  
       2022-05-04 00:42:29 +08:00 via Android
    及时更新系统和软件。
    txydhr
        27
    txydhr  
       2022-05-04 01:37:53 +08:00
    楼主问这种问题,应该是不需要任何特殊的设置
    snw
        28
    snw  
       2022-05-04 11:04:11 +08:00 via Android
    @acbot
    @nonwill
    问题是有时候你很难意识到自己已经做过了什么。
    举个例子,有些软件 /应用(尤其是视频类)为了实现 p2p 功能会直接在你设备上开个固定端口用作匿名代理,那些全网代理列表很多都是这种。这种情况只有扫一遍自己的端口才能发现。
    Les1ie
        29
    Les1ie  
       2022-05-04 11:35:07 +08:00
    家宽,联通,公网 IP ,我目前的策略,供参考:

    1. 不暴露 SSH 或者 windows 远程桌面在公网,远程桌面也曾经出过严重漏洞,比如 CVE-2019-0708 ,如果一定要暴露远程桌面,那么建议使用非标准端口。
    2. 开启路由器的防火墙,尽量用近几年的还在保持系统更新的路由器,旧路由器的漏洞也不少。自己的服务器觉得能 hold 住,防火墙 Any to Any permit ,但是家里的内网还是该怂就得怂,不然内网安全还是无法保障的。
    3. 建议非标准端口暴露 OpenVPN/Wireguard 服务,通过 VPN 访问内网设备。
    4. 光猫里开启 IPv6 的防火墙,禁止入站连接。尽管 v6 地址稀疏,难以被主动探测扫描到,但是无法保证总是安全的。
    BeliefanX
        30
    BeliefanX  
       2022-05-04 12:08:29 +08:00
    我目前是光猫 + 软路由的组合,之前也想改桥接,但是用了 WireGuard 做内网穿透之后,觉得真香。
    BeliefanX
        31
    BeliefanX  
       2022-05-04 12:11:26 +08:00
    光猫只开一个 WireGuard 的端口做一下转发,其它端口都不用开。
    配合 mac 和 iphone 端的 surge ,真的实现了各网融合,即使是在外面,也可以像在家一样,通过局域网地址正常访问内网服务。
    datocp
        32
    datocp  
       2022-05-04 12:16:56 +08:00
    这几年踩过的坑,一般家用还算好用的是 nat ,但是如果没有 openwrt 这种完全定制化的固化,很多安全防护是很难做到的
    1.iptables -P INPUT DROP
    防火墙入方向要先拒绝,然后一个个允许。这问题当时在使用 vps 时傻眼了,默认 ACCEPT 怎么可以连接到基于公网的 ip
    2.强制所有的 DNS 查询都经过网关,这样才可以做一些基于 dnsmasq 的访问限制
    -A prerouting_rule -s 192.168.0.0/16 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.99.253
    3.syn flood 抑制,这个 openwrt 默认就有了

    iptables -F syn_flood
    iptables -N syn_flood
    iptables -A syn_flood -m limit --limit 100/s --limit-burst 50 -j RETURN
    iptables -A syn_flood -j DROP

    4.动态封禁扫描,可以用 hacker iptables recent 搜索一下,之前介绍的文章是用 iptables recent 模块实现,后来因为有了 ipset ,事情就更简单了,所有踩中陷阱的源 ip ,统统封禁 3 分钟。
    iptables -I INPUT 3 -i eth0.2 -m set --match-set banned_hosts src -j DROP
    iptables -I INPUT 4 -i eth0.2 -p udp -m multiport --dports 80,161,1863,5060 -j SET --add-set banned_hosts src
    iptables -I INPUT 5 -i eth0.2 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts s
    ipset destroy banned_hosts
    ipset -N banned_hosts hash:net timeout 180

    5.集成 softether ,vpn 到内网再访问服务是个好习惯。避免突然有天发现端口被 ISP 封禁了。。。
    acbot
        33
    acbot  
       2022-05-04 13:58:10 +08:00
    @snw “举个例子,... 这种情况只有扫一遍自己的端口才能发现” 首先,光猫 /路由器 /操作系统的防火墙默认规则已经足够,只要你不无脑的禁用或者是骚操作那么都能够保证网络环境安全;其次,非要说打洞和穿透的问题,这个问题在 NAT 环境下同样存在,与是否公网环境没有多大关系,更多的是软件和你自身的问题!
    wslzy007
        34
    wslzy007  
       2022-05-04 14:04:02 +08:00
    其实吧,最安全的方式就是不要开监听端口,使用反向连接进行安全访问,同时关闭 upnp 及端口映射,打开防火墙。
    可以试试 SG 方案 @ttgo github.com/lazy-luo/smarGate
    PS:VPS 也可以依葫芦画瓢只允许 localhost 访问 ssh
    ztjal
        35
    ztjal  
       2022-05-04 17:30:17 +08:00
    首先呢,LZ 自己并没有说明自己的上网环境。
    LZ 是用什么方式上网的呢?光猫拨号?路由器拨号呢?还是电脑拨号呢?
    光猫型号?路由器型号?
    先把这些基础信息说清楚。
    Damn
        36
    Damn  
       2022-05-04 21:14:58 +08:00
    @wzky 弱口令远程桌面裸奔多年,不过不是默认端口。
    klarkzh
        37
    klarkzh  
       2022-05-05 14:28:39 +08:00 via iPhone
    @wslzy007 这软件不是开源的啊
    libook
        38
    libook  
       2022-05-05 15:38:21 +08:00
    假设是家里路由器开 NAT ,然后家里设备组成一个局域网,靠路由器转发到公网。
    这种情况下就是从公网没法访问到家里的设备,只能访问到路由器,除非在路由器上开了端口映射或 UPnP 。

    那么首先要保证路由器的安全,比如管理界面是否允许公网登录,以及密码强度、固件漏洞等等。
    其次是看内网有啥服务需要在路由器上开端口映射,这些服务本身是否具备安全措施,比如是否容易被攻击,是否会被夺取控制权,是否会泄露数据,传输数据是否进行了加密(比如没用 TLS 的情况)。

    建议能用 VPN 尽量用 VPN ,公网只开一个 VPN 端口,其他都像在局域网里访问一样,特别是远程桌面之类的功能。
    geniusmyn
        39
    geniusmyn  
       2023-05-09 15:53:20 +08:00
    @kmvvv #14 部署入侵检测系统,收集访问信息,攻击日志,图表显示方便监控,请问大佬这个有什么插件推荐吗
    kmvvv
        40
    kmvvv  
       2023-05-10 00:44:19 +08:00
    @geniusmyn pfSense 有 snort 或者 suricata ,至于日志我用 ELK 收集过,5 天磁盘空间占用增加 10 多 G ,最终还是弃了
    YJBZC
        41
    YJBZC  
       270 天前
    @simplove 光猫桥接,用电脑拨号就是直接公网 ip 了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2881 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 15:10 · PVG 23:10 · LAX 07:10 · JFK 10:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.