V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
abcfreedom
V2EX  ›  程序员

家庭局域网服务对外暴露,如何确保安全

  •  
  •   abcfreedom · 2023-05-15 12:25:24 +08:00 · 5561 次点击
    这是一个创建于 564 天前的主题,其中的信息可能已经有所发展或是发生改变。

    家里有一些服务,比如 Nas 和各种虚拟机,为了方便在外面使用,我在内网搭了一个 ss ,外网通过 ss 协议连接到该服务,再进行局域网的访问。这个方案有一个风险点是,如果 ss 的密码暴露了,那么拿到密码的人就也可以访问家里局域网了。目前这套方案运行了两年多时间,可能没有出什么问题,也可能出了问题我没有察觉到。虽然局域网内的各个服务都有密码,但还是感觉不太踏实。

    想咨询一下 v 友们有没有什么安全策略,比如局域网的监控服务、或者其他更好的对外暴露内网服务的方案。

    41 条回复    2023-05-16 20:09:28 +08:00
    duduke
        1
    duduke  
       2023-05-15 12:28:54 +08:00 via iPhone   ❤️ 1
    对外开放 vmess ,通过 vmess 回家,反正电脑手机都要开着科学
    yanyuechuixue
        2
    yanyuechuixue  
       2023-05-15 12:40:01 +08:00
    用 tailscale 呀,其实现在由于有 ipv6 的原因,大部分设备都可以打洞直连。
    ysc3839
        3
    ysc3839  
       2023-05-15 12:49:27 +08:00 via Android
    换 WireGuard 等基于非对称密钥认证的协议
    deplivesb
        4
    deplivesb  
       2023-05-15 12:54:26 +08:00
    vpn 回家
    Jhma
        5
    Jhma  
       2023-05-15 12:54:54 +08:00
    用 opnsense 防火墙简单配置一下 openvpn,能实现用户+密码+证书+APP 动态密码的高安全访问,其他 vpn 只要能拿到你的用户密码证书文件配置文件等就可以随意链接,是不安全的
    shangyu7
        6
    shangyu7  
       2023-05-15 13:09:38 +08:00
    ss 够安全了吧?密码关了用证书呗
    sadfQED2
        7
    sadfQED2  
       2023-05-15 13:20:06 +08:00 via Android
    内网开 v2 ,使用梯子服务器做分流。连上梯子以后,内网,墙外,大陆都能流畅连接
    esee
        8
    esee  
       2023-05-15 14:11:20 +08:00
    @Jhma 用户密码证书就够安全了吧,还要动态密码最后黑客没来,防的全是自己
    Jhma
        9
    Jhma  
       2023-05-15 14:42:11 +08:00
    @esee 你怎么知道黑客没来,高手都是很少有痕迹的,放个免杀的木马很轻松的事情
    blankmiss
        10
    blankmiss  
       2023-05-15 14:44:42 +08:00
    tailscale 搭建私有 derp 服务器
    abelyao
        11
    abelyao  
       2023-05-15 15:46:38 +08:00
    @Jhma #9 被你这么一说 害怕了,比直接格盘还吓人… 还是不开放了…
    Jhma
        12
    Jhma  
       2023-05-15 15:55:16 +08:00
    @abelyao 嗯,尽量少开放端口给公网,说不定某些服务端口会有未被公开的漏洞,植入木马或者勒索病毒之类的就惨了
    0o0O0o0O0o
        13
    0o0O0o0O0o  
       2023-05-15 16:00:55 +08:00 via iPhone
    @Jhma #9 每次在 v 站看到一些诸如“我很多年都是这样那样配置没被黑过”的发言,我也想问他们你怎么知道自己没被黑,难道黑客只是进来格盘大声嚷嚷的
    janzwong
        14
    janzwong  
       2023-05-15 16:05:24 +08:00
    sslvpn 应该是相对更加安全的方式,还有你内网 ss 的服务器的端口开放情况要把控好,不要开放无用端口出去了,最好能起个防火墙搞个定时清理黑名单 ip 的策略。
    monkey110
        15
    monkey110  
       2023-05-15 16:15:30 +08:00
    目前个人在用的方案是华硕路由开 openvpn,防火墙放行指定端口,用群晖自家 ddns(可以 https 访问)反代群晖和内网部分服务,vpn 和 ddns 配合使用,强密码二部验证是基操。

    另外使用何种组网软件能用最新版的就用最新版的,防止漏洞类。
    我就是用的 nps 然后作者不更了,被从漏洞进来裸奔了两年之久,直到最近才发现。
    详见 https://www.v2ex.com/t/939787
    wogjdjaj
        16
    wogjdjaj  
       2023-05-15 16:21:13 +08:00 via Android
    只要联网就没有安全可言
    多备份 少开放太多服务和端口
    1521815837
        17
    1521815837  
       2023-05-15 16:24:08 +08:00
    疑人不用用人不疑呗移动硬盘又不贵
    winson030
        18
    winson030  
       2023-05-15 16:33:21 +08:00 via iPhone
    推荐 Tailscale ,稳
    JayZXu
        19
    JayZXu  
       2023-05-15 16:36:05 +08:00
    tailscale, zerotier 。组虚拟局域网,不需要对外开端口也能用了
    a632079
        20
    a632079  
       2023-05-15 17:08:29 +08:00
    😨同楼上,为啥不用 VLAN 终端?比如 tailscale 、zerotier ?
    如果担心中心节点的问题的话,可以直接用 tailscale 的非官方开源控制服务器 headscale 的。
    leaflxh
        21
    leaflxh  
       2023-05-15 17:16:10 +08:00
    自己写个 port knocker ,手动操作,ip to ip 防火墙放通
    tyhunter
        22
    tyhunter  
       2023-05-15 17:32:14 +08:00
    我是 IPV6 DDNS+端口转发+SS ,SS 用的大小写+字符,除非主动泄露
    如果还想加强安全,可以考虑搭建一台跳板机转发 SS 请求?
    设备-->跳板机转发-->本机端口转发(白名单只接受跳板机 IP)-->SS 端口
    但这样速度就不如直接 DDNS 来的直接了
    yaott2020
        23
    yaott2020  
       2023-05-15 18:04:13 +08:00 via Android
    wireguard 回家,安全性速度兼有
    abcfreedom
        24
    abcfreedom  
    OP
       2023-05-15 19:10:39 +08:00
    @duduke 话说开放 vmess 和开放 ss 安全性是不是一样呢
    abcfreedom
        25
    abcfreedom  
    OP
       2023-05-15 19:11:40 +08:00
    @yanyuechuixue
    @ysc3839
    @deplivesb
    @Jhma
    @shangyu7
    @sadfQED2
    @blankmiss
    感谢大佬们的建议,我去调研一下
    abcfreedom
        26
    abcfreedom  
    OP
       2023-05-15 19:12:23 +08:00
    @janzwong 学到了,目前是只开放了 ss 的端口到公网,黑名单 ip 之前还没太搞过,我去查查,感谢大佬
    deplivesb
        27
    deplivesb  
       2023-05-15 19:13:09 +08:00
    @yaott2020 我这 wireguard 回家速度很慢,udp 的包经常被 QOS
    abcfreedom
        28
    abcfreedom  
    OP
       2023-05-15 19:15:42 +08:00
    @monkey110 感谢,我目前用的 ikuai 的系统做主路由,对外开放了 ss 的端口~ 之前在公有云服务上用一键脚本搭建服务,也碰到过被黑的情况,确实挺坑的,当时我的服务器被拿去恶意乱发邮件,以至于被云服务商强制关了😂
    abcfreedom
        29
    abcfreedom  
    OP
       2023-05-15 19:16:32 +08:00
    @winson030
    @JayZXu
    @a632079
    学到了,看到好多大佬推荐 tailscale ,之前对这块没太了解,是时候补补课了
    abcfreedom
        30
    abcfreedom  
    OP
       2023-05-15 19:19:07 +08:00
    @tyhunter
    @leaflxh
    @yaott2020
    感谢建议~
    FrankAdler
        31
    FrankAdler  
       2023-05-15 19:57:26 +08:00 via iPhone
    定期更换密码 我觉得 ss 就足够了
    baobao1270
        32
    baobao1270  
       2023-05-15 20:28:27 +08:00
    SS 密码用 128 位随机字符串,怎么暴露?
    除非主动泄露,比如不小心分享出去二维码。否则以现在的密码学设计,除非对方使用量子计算机,或者协议实现上有 0day ,否则不会有问题
    当然也可以用 ZeroTrust 的思想,所有需要上公网的都直接上公网,强制 GitHub OAuth 登录+YubiKey 验证
    azure2023us559
        33
    azure2023us559  
       2023-05-15 20:35:18 +08:00
    docker
    azure2023us559
        34
    azure2023us559  
       2023-05-15 20:36:29 +08:00
    ss 换 wireguard , listen on ipv6 443 udp
    abcfreedom
        35
    abcfreedom  
    OP
       2023-05-16 09:16:12 +08:00
    @FrankAdler
    @baobao1270
    @azure2023us559
    学到了 感谢大佬们,准备 ss 换个密码先用着,有空了折腾一下 tailscale 和 wireguard
    hezhile
        36
    hezhile  
       2023-05-16 11:29:31 +08:00
    zerotier +1
    superchijinpeng
        37
    superchijinpeng  
       2023-05-16 13:01:54 +08:00
    Tailscale ,也可以用 Cloudflare Tunnel
    esee
        38
    esee  
       2023-05-16 14:47:51 +08:00
    @Jhma 你也说了没有痕迹,那你加了动态密码就能知道黑客没来过?安全都是相对的,你给门加了几百把锁,结果门和墙连接不牢固直接把门踹开了不也一样入侵,最后防的都是自己。
    Jhma
        39
    Jhma  
       2023-05-16 14:57:58 +08:00
    @esee 至少二次认证是公认的比没有二次认证的安全,各大安全厂商也力推二次认证系统,简单的说,我明明有技术可以自己动手加锁,为何不加!
    troilus
        40
    troilus  
       2023-05-16 18:07:19 +08:00
    用 vmess ,配合规则
    hauzerlee
        41
    hauzerlee  
       2023-05-16 20:09:28 +08:00
    不是非要立刻马上就访问到的话,还可以利用一些黑客也常用的手段。比如写段程序抓取你的微博之类的能公开发出的信息,抓到短时间内特定的暗号,才把家里的 ss 打开,用完关闭,其他时间都是关闭的。减少对公网暴露的时间。

    技术细节方面的话,就是这个暗号也用动态的,两边同时生成,用于对比和校验。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1630 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 00:01 · PVG 08:01 · LAX 16:01 · JFK 19:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.