黑客能确定转发给远程桌面的所有端口吗?
黑客能确定转发给远程桌面的所有端口吗?
提问于 2017-01-03 17:30:29
我们有一个客户,谁坚持让6-7局域网个人电脑向互联网开放的RDP。每台PC上的RDP侦听端口已从默认状态更改。这些端口在它们的Sonicwall TZ200 FW中被转发。我将实现这两种安全措施中的一种或两种:只需要vpn和只允许来自lan地址的RDP连接,和/或在Sonicwall中创建用户,并要求RDP用户在建立RDP会话之前对SW进行身份验证。但我的问题仍然是相关的:侦听端口能否通过针对防火墙和公共IP地址的端口扫描来确定,如果是,如何最好地防止?
回答 2
Server Fault用户
发布于 2017-01-03 17:57:26
简短的回答。是
更长的答案。无论监听的端口是哪个端口,都可以发现具有向Internet开放端口的服务。RDP也不例外。端口扫描是相当常见的。
在您的情况下所支持的配置是授权和使用RDP网关服务。您有一个单独的入口点,监听443并使用TLS加密,然后TLS充当RDP隧道,以获取您在内部网络上的任何位置。
这不仅仅是一个开放的东西,任何人都可以使用。它有一个单独的身份验证层(通过Active ),您可以通过安全模型获得相当细的粒度。如同A组一样,A组只能到达计算机组B组等。
很多环境选择只使用VPN,因为它“更容易”。
Server Fault用户
发布于 2017-01-03 17:51:56
要解决您的直接问题:是的,所有侦听端口及其上的服务通常都可以通过运行简单的端口扫描来发现。您不能完全停止这种情况,虽然我已经成功地用psad减缓/阻塞了端口扫描尝试,但它很可能不受防火墙的支持,而且也不是不可战胜的。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/823927
复制相关文章
相似问题
腾讯云开发者
