这是一个创建于 430 天前的主题,其中的信息可能已经有所发展或是发生改变。
在公司用电脑装了 zerotier ,自己用境内服务器搭建了 moon ,一周之后公司老板接到网警电话,说怀疑诈骗人员远程控制了公司的电脑。
之前在学校的时候用 frp 也被学校的网管找上门过。
不懂公司用向日葵之类的软件为啥没问题,有办法不让网警关注吗?
之前在学校的时候用 frp 也被学校的网管找上门过。
不懂公司用向日葵之类的软件为啥没问题,有办法不让网警关注吗?
第 1 条附言 · 2023-09-01 12:56:45 +08:00
最新反转,公司确实被入侵了,查 mac 查到了财务的电脑,入侵时间也是我装 zerotier 之后
 |
101
sky857412 2023-08-31 09:12:54 +08:00
内网穿透也是个人电脑呀,公司不一般都有 vpn
|
 |
102
raysonlu 2023-08-31 09:15:37 +08:00
同 61 楼问,frp+tls ,能完美防范?
|
 |
103
mikaelson 2023-08-31 09:20:23 +08:00
公司一直用 tinc+frp 两三年了没问题啊。。。
|
 |
104
wizzer 2023-08-31 09:22:52 +08:00
@NoobNoob030 偶尔连电脑,用 rustdesk 就好了
|
 |
105
luckyscript 2023-08-31 09:25:39 +08:00
大公司这种都是红线行为
|
 |
107
wtdd 2023-08-31 09:30:26 +08:00
网警水平没这么高也没这么闲,应该是公司自己装的监控软件发现你了
|
 |
108
ugpu 2023-08-31 09:35:35 +08:00
OP 发完帖人不见了 剩下一群 吃瓜群众 在这争得面红耳赤.
其中有: |
 |
109
milestance 2023-08-31 09:35:53 +08:00  1
说个安全一点的方案,PIKVM + TAILSCALE + 远程电路开关+ 光影猫
1.光影猫(或者任何 CPE )通过 SIM 卡单独开一张网。 2.PIKVM 接入这张私有网络,并连接连接自己的电脑 HDMI/USB 口。 3.要远程的时候,用远程电路开关打开 PIKVM 。 4.不用的时候,将远程电路开关关掉,黑客无法入侵。 这个方案唯一有个风险,PIKVM 如果被入侵,有可能通过 USB 进一步入侵目标电脑,这个没想好特别好的方式解决。 |
|
110
ugpu 2023-08-31 09:36:34 +08:00
|
 |
111
simplove 2023-08-31 09:40:57 +08:00
哪个地市的?反正广东不至于这样
|
 |
112
NoobNoob030 OP @simplove 厦门
|
 |
113
monkeyfx 2023-08-31 09:47:00 +08:00 1
真是无语,但凡有点规模的公司都不会允许内网穿透存在吧?别整什么向日葵因为国产就可以安的,之前在老东家参与护网行动的时候,手下伙伴电脑被扫到有向日葵,直接现场处置。听人劝吃饱饭,养成好习惯对自己没坏处,特殊情况提工单让公司 sre 开 vpn 有那么难吗?
|
 |
114
nothingistrue 2023-08-31 09:51:32 +08:00
The ZeroTier client is used to connect to virtual networks previously created in the ZeroTier Central web-based UI. Endpoint connections are peer-to-peer and end-to-end encrypted 「终端之间的操作是点对点,以及端对端加密的」.
ZeroTier 这种是两端经服务器协商之后的直连( IPv4 公网直连、NAT ,或者 IPv6 直连),然后国外「尊重隐私的傻子」,在加密上又不会留特征或后门(重点是也不会留可以作为证据的日志)。最终就表现成了:P2P 连接、内容加密、不像游戏串流、无法留特定日志。这跟肉鸡控制是一样的表现,网警要不关注那就是真傻子了。 向日葵、ToDesk 这种专做国内的,还是主要面向企业员工的,想都不用想他们铁定有后门。最简单的来说,每个连接的时间、地点、人/实名手机号,它都是记录的。这种情况下,网警要是再去关注,那就是跟上面被打点过的领导过不去。 本质上来说,不管你用啥,非经 VPN 的方式连接进公司内网的行为,都是高危操作。向日葵、ToDesk 也只不过是走在灰色地带上,不好管而已,并不是说它们就能随便用。(也不是不能用,被控端电脑,跟公司内网再做好隔离就行了) |
 |
115
ppqqows 2023-08-31 09:54:06 +08:00
大公司不能乱搞,专业 IT 的设置也让你想搞都搞不了。
小公司根本不管。 楼主这种属于夹在中间的? |
|
116
NoobNoob030 OP 网警怀疑我们被诈骗了,宣传了一下防诈骗就没事了。
公司规模小,可以说基本没有安全措施,生产环境的密码直接明文写在文档里,实习生都可以删库跑路。 不过如果真因为我弄了穿透导致损失我肯定得担责,所以我早就关了。 奉劝各位多留一个心眼,op 初入职场,小孩子不懂事搭着玩的😬 |
 |
117
fulvaz 2023-08-31 10:11:36 +08:00
搞这些干啥,还不如劝老板出钱开 vpn
但凡出事情,你牢底坐穿 |
 |
118
Tounea 2023-08-31 10:17:00 +08:00
@yinmin 公司搭 Openvpn ,在外用 openvpn 连公司内网也不行?一般公司谁愿意掏钱去买有证的 vpn 硬件设备!
|
 |
119
garlics 2023-08-31 10:21:18 +08:00 1
@emptyiscolor 现在有句更通俗的话:放下助人情节,尊重他人命运。
|
 |
120
Torpedo 2023-08-31 10:27:55 +08:00
法律是最低的底线。内网穿透不考虑法律问题,技术上也是安全红线
|
 |
121
AkaHanshan 2023-08-31 10:28:29 +08:00
没出事还好吧,出事了总有一条法律条文能等着你的,况且这么搞不合规的话,可能出事了违反的条文一张纸列不下....
|
 |
122
abcbuzhiming 2023-08-31 10:29:17 +08:00
@Tounea 你们怎么还没 get 要点呢?你用任何技术手段都不重要。重要的是,这个从外部连进公司内网的操作,得到了公司的背书没有?也就是公司的可以负责的人,点头同意了没有?同意了,出了事是他的锅,没同意过,出了问题就是你的锅。
公司不愿意掏钱买有证的 VPN 硬件设备,那是公司的问题,你擅自行动造成公司安全风险,那就是你的锅 |
 |
128
oneKnow 2023-08-31 10:48:52 +08:00
想请问一下各位老哥,群晖用的 ipv6 公网,但是公司没有 ipv6 ,群晖官方的连接又好像用不了端口,在公司是用的 zerotier 连回去的,但是听楼上这么一说,吓得我立马把 zerotier 卸了,请问一下还有什么方法可以连回去没
|
 |
129
bitkuang8 2023-08-31 10:52:58 +08:00
那微信网页开发那些需要内网穿透的场景也不合规吗(认真脸
|
 |
134
wukaige 2023-08-31 12:04:32 +08:00
吓得我赶紧把 zerotier 卸载
|
 |
136
Dipous 2023-08-31 12:26:15 +08:00
@nothingistrue 抛开合规性问题想讨论一下,网警是通过什么方式查到流量特征的异常的?在企业出口审计还是别的可能性?
|
 |
137
snBDX1b0jJM4ogKd 2023-08-31 12:38:17 +08:00 via Android
@FastAce 是用的深信服的产品么
|
 |
138
ambition117 2023-08-31 13:04:50 +08:00 via iPhone
笑了,要玩这种的话技术不过关就别玩了,首先至少要跟大厂 it 一个水平吧
只会照着网上搜来的教程玩的脚本小子,怕是哪天被黑客当跳板了,被网警抓了,都不晓得发生了什么 |
 |
140
knightgao2 2023-08-31 13:31:39 +08:00
还行 我还听说过 高位端口映射出去被当成肉鸡的
|
 |
141
systemcall 2023-08-31 13:38:18 +08:00
感觉有可能是自己用的东西有后门,被别人挂马当肉鸡了
不要乱动公司的电脑,更不要乱开放可以公网访问的端口。出了事都是你的锅。 如果企业的网络配置得很业余,内网的机器确实有可能开个可以从外网访问进来的高位端口。之后要是上面挂了什么诈骗网站,出了事都会推你头上,哪怕你不知情,但是狼是你放进来的 有很多公司有各种审计系统,这个会拦截或者只上报 |
 |
142
guaiZhang 2023-08-31 13:55:39 +08:00
牛,老板开人都不需要编理由了,直接送走
|
 |
143
heyleo 2023-08-31 13:58:14 +08:00
woc ,看下来感觉有点吓人了。。在公司分的测试环境的堡垒机上搭了一个内网穿透,用的 cloudflare ,自己的域名,平时就自己一个人用;我这种情况是不是要先停了这个内网穿透。。
|
 |
145
proxytoworld 2023-08-31 14:20:08 +08:00
@SHF #61 你是不是不知道 tls 也有指纹。。
|
 |
146
ShuA1 2023-08-31 15:26:04 +08:00
网警有五元组信息, 可以分析和预警
|
 |
147
asm 2023-08-31 15:37:00 +08:00
那些不愿听的可以继续,反正听不进去的,自以为聪明还会继续用,呵。
感觉 op 这个是触发国内某云的规则后,报给网警的。 |
 |
148
mahoo12138 2023-08-31 15:48:38 +08:00
羡慕你司还能网络内网穿透了,我司网络安全中心直接限制住了,我 frp 啥的都不行
|
 |
149
xsen 2023-08-31 15:59:51 +08:00
1. 不要在默认的公司电脑系统装任何与工作无关软件
2. 若要装那就虚拟机装个 linux+nat ;从技术来说,单纯的网络流量特征判定是很难发现的 3. 采用 vpn 性质的,如 wireguard 或者 tailscale 若要自建穿透服务器,不要用任何大陆的 vps (包括不限于阿里、华为、腾讯等) |
 |
150
SHF 2023-08-31 20:20:30 +08:00
@proxytoworld 学到了,tls 确实有指纹,把 SSLVersion,Cipher,SSLExtension,EllipticCurve,EllipticCurvePointFormat 按顺序排列然后计算 hash 值,便可得到一个客户端的 TLS FingerPrint ( https://ares-x.com/2021/04/18/SSL-%E6%8C%87%E7%BA%B9%E8%AF%86%E5%88%AB%E5%92%8C%E7%BB%95%E8%BF%87/)
但是这种指纹应该是 go 语言编写的应用程序的通用的指纹吧,很难精准定位是 frp 的 另外一个方案是改一下协议,用 quic 会不会好一点,没有 tls 层,而且协议比较新,有可能指纹探测还没开发出来? |
 |
151
fighterhit 2023-08-31 20:30:56 +08:00
@bobryjosin “vpn 进来所有操作都是在内网保护环境下进行” 这个怎么理解呢?是什么在保护?还有就是假如我把内网服务用 ssh 隧道转发到某个公网节点上,这样和内网穿透有区别吗?
|
 |
152
bobryjosin 2023-08-31 21:55:37 +08:00
@fighterhit 反向代理和正向代理的区别,vpn 是正向代理,内网穿透是反向代理
-- 示例:80 端口是你的服务,9090 是 VPN 端口 1. 内网穿透:内网服务(80)->公网节点(80)<-用户 == 内网服务<-用户 2. VPN:内网服务(80)<-VPN 服务器(9090)<-用户 VPN 客户端 内网服务是可控的,VPN 服务器也是可控的,用户只有通过 VPN 服务器才能访问你的服务,是 VPN 在保护你的服务。 内网穿透只有你的服务可控,任何人都可以通过公网访问你的服务,你只可以在服务上做认证,如果被干掉,内网服务直接完蛋。 -- ssh 隧道转发算内网穿透,本质上内网服务把端口放在了公网节点上,你的服务是直接暴露在公网上的,没有任何保护措施,任何人都可以访问。 -- |
 |
153
caotian 2023-09-01 09:34:39 +08:00
小公司,买不起好的设备, 但是买的 tplink 路由器自带了 L2tp vpn 呀, 需要的同事人手配置了一个账号, 拨号的宽带 ip 不固定,装个 tplink 的 app, 可以实时看到 ip,需要远程的同事问我一下,我就 app 上看看 ip 多少告诉他. l2tp 兼容性很好, mac,windows,android,ios 都原生支持,不需要安装软件. 但是哪个同事敢给公司电脑做内网穿透,肯定也是不能容忍的.
|
 |
154
key001 2023-09-01 11:36:18 +08:00
这不很简单吗 走正常的 http 协议 就可以 比如 websocket
|
|
155
NoobNoob030 OP 最新反转,网警真查到了,的确是被入侵了,查 mac 查到财务的电脑给诈骗团伙入侵
|
 |
156
yufanwind 2023-09-01 14:01:56 +08:00
@oneKnow 对的,前提是你这程序部署到家里而不是公司,你从公司访问家里是没问题的。而且不用在公司电脑上装任何的东西
|
 |
157
flyico 2023-09-01 14:15:14 +08:00
这种事情,不出事的时候你好我好大家好,出了事,你有 1000 张嘴都没用,因为你完全不占理,公司还可以将所有屎盆子都扣在你头上
|
 |
158
FastAce 2023-09-07 15:06:50 +08:00
@NoobNoob030 所以这块后续怎么说
|
|
159
NoobNoob030 OP @FastAce 后续是跟我没关系,确实有人入侵了系统,有点巧。。。
|
Select Language