V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wanmyj
V2EX  ›  职场话题

刚入职,想加个端口映射方便回家远程工作,被以内网安全为由一口拒绝

  •  
  •   wanmyj · 255 天前 · 14487 次点击
    这是一个创建于 255 天前的主题,其中的信息可能已经有所发展或是发生改变。
    表面上看,映射端口是会暴露更多的攻击面。

    但是,一个创业公司,开发配的电脑的 Windows 都是 home 版的,还是我自己 搞得 pro ,普通路由器用 192 的网段,这能有个毛线网络安全。考虑到我的微软账户的安全性很高,攻破 3389 端口的能力基本上早就打穿了这层路由器管理员权限。

    实际上,这恰恰暴露了 IT 的不专业。这家公司的工作效率,一定受限于公司的管理文化,不是依赖更高效的工作方式,而变得更依赖员工的工作努力。

    还好手上还有其他 offer ,已经想跑了。
    第 1 条附言  ·  255 天前
    看到这么多人回复,也感觉有点不好意思。

    我理解的专业 it ,应该存在 vpn ,网络流量监控监管等等机制。如果这些什么都不存在,那么开端口增加的风险可以忽略,因为本身就已经是高风险了。比如,可以随便用远程控制软件。

    我当时听到回复也没有跟 it 再说什么,他也是个开发,兼职 it ,不会也不打算布置 vpn 。我也理解网友们说的,总是不开端口更安全,毕竟 0day 怎么防。

    但是话说回来,本是就是一个很普通的网络环境,内外网都没有隔离和监控,却说一定要如此重视安全,感觉更像是一种原则口号。就好像一个普通的房子,非要用金库的密码锁一样,要说这样更安全,当然没错。

    前公司的工作文化,work smarter not harder ,还有一句意思是,不要因为怕承担风险而什么都不做。每个人有每个人的理解,不再过分讨论。我的回复肯定有很多漏洞。人性就是很喜欢找到并抓住一个漏洞,然后展开无限的联想和情绪输出,而毫不在意主题。

    我不喜欢依靠员工努力而不是优先提高工作效率的公司。如果一定要解释什么的话,其实我面试时候就跟主管提过公司的网络环境,和远程桌面的需求,主管也说没问题。可能主管并没有考虑那么多,也很正常。当然金库密码锁的安全性也是绝对不容置疑的。至于我提到的 home 版的 Windows 做开发,是想说公司的开发配置不够专业的另一个例子,虽然写 helloworld 并不受限,但我的工作受限了。
    115 条回复
    1  2  
    GGMM
        101
    GGMM  
       254 天前
    @CodeLaunchur 我们实验室有过因为暴露了公网端口被攻击的情况,病毒/脚本通过暴力搜索 3~5 位的用户名和弱密码攻入了内网,导致实验室内部的机器全部都中了病毒,CPU 永远满载,个人能力有限只能重装系统。
    mamba
        102
    mamba  
       254 天前
    以为楼主很懂
    一看回复水平一般。。。
    wanmyj
        103
    wanmyj  
    OP
       254 天前
    @sagaxu 感谢你在 40#提供的方式,已经搞定了,只需要 ssh reverse port forwarding(-R)就可以达到目的。
    12101111
        104
    12101111  
       254 天前
    @naivesen @zbatman home 版不能开 rdp 远程

    “搞得 pro”, 如果这个“搞得”是指盗版,那问题好像更大吧
    zbatman
        105
    zbatman  
       254 天前
    @12101111
    home 版也有办法开 rdp 远程,还可以用 hyper-v ,总比直接盗版 pro 来的更安全一些。
    所以归根结底这就不是一个技术问题,楼主是对自己承担的风险太轻视了。
    WDATM33
        106
    WDATM33  
       254 天前
    出事了又不用他擦屁股,他转身跑路就完了他当然不在乎这个
    xylxAdai
        107
    xylxAdai  
       254 天前
    你这表现的也太不专业了,不知道你这种奇葩的话怎么能说得出口的。
    loopinfor
        108
    loopinfor  
       254 天前
    虽然你的 windows 账户安全性高,但是电脑上可能存在弱密码的账户,开放了端口 rdp 照样可以登录。另外,windows 账户 rdp 登录并不一定要知道你的邮箱,用账户简写也是可以登录进去的。
    unco020511
        109
    unco020511  
       254 天前
    一般公司都有自己的远程机制吧,大多数都是 vpn
    whosphp
        110
    whosphp  
       254 天前
    @wanmyj #35 tailscale 不需要开端口, 依靠打洞, 打洞不成功会走中转
    july1995
        111
    july1995  
       254 天前
    无力吐槽了,半吊子水平,就别质疑公司了。
    uncat
        112
    uncat  
       254 天前
    @wanmyj #110 tailscale 和 wireguard 的方案是部署在公网服务器上的。

    局域网内的服务器、开发者本地主动连接公网服务器并保持连接。

    开发者的请求以公网服务器转发或直连局域网服务器( STUN 打洞)的形式建立连接。局域网的服务器收到请求再转发给其他局域网设备。
    CodeLaunchur
        113
    CodeLaunchur  
       254 天前
    @GGMM 是啊,最后我也是放弃很多文件选择清盘重装,就是可惜了那么多大姐姐
    NormanGhost
        114
    NormanGhost  
       254 天前 via Android
    奇葩一个。首先,下班回家想着工作脑袋被门挤了吧。其次,让 IT 给你开端口映射异想天开,公司是你家吗。
    wanmyj
        115
    wanmyj  
    OP
       252 天前 via iPhone
    @uncat 感谢提供方法。已经用 ssh reverse port forward 搞定。其实原理都是差不多。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1769 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:27 · PVG 00:27 · LAX 08:27 · JFK 11:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.