Мне нужно удаленно подключить рабочий стол к машине из другой сети, и, насколько я знаю, два (самых простых) решения, которые у меня есть, это либо использовать переадресацию портов, либо hamachi (или что-то подобное).
Я предполагаю, что переадресация портов откроет удаленный рабочий стол для всего Интернета, что может вызвать угрозу. Является ли использование hamachi в этом случае лучшим решением?
Угрозы одинаково велики.
И hamachi, и Remote Desktop открывают порт для подключения к Интернету. Любой, кто знает правильные учетные данные, может войти.
Тем не менее, большинство людей не знают правильные учетные данные, и оба hamachi (который в основном VPN) и Remote Desktop оба очень безопасны. Если вы хотите добавить уровень безопасности для удаленного рабочего стола, вы можете использовать принцип безопасности от Obscurity. Обычно вы используете порт, отличный от стандартного, и при каждом подключении вы включаете этот новый порт. Это нужно только установить на месте маршрутизатора для переадресации портов.
Например: порт 33389 пересылается на IP-адрес вашего компьютера и порт 3389.
Теперь с любого компьютера вы получаете удаленный рабочий стол на ваш общедоступный IP-адрес: 33389. Например: 123.45.67.89:33389
Любой, кто не знает правильный порт, никогда не узнает, что за ним стоит. Рекомендуется сделать этот новый порт любым номером, который вы хотите, если он выше 1023, поскольку это привилегированные порты и имеют особое значение. Указанные выше порты все еще имеют некоторые часто используемые, например, 3389 по умолчанию для RDP. Если вы хотите быть в полной безопасности, поднимитесь выше 10000. Максимальное число, которое вы можете взять - 65535.
Хакер, который выполняет сканирование портов, будет сканировать основные 1023 порта и, возможно, некоторые общие порты в секции 1024-10000, например 3389.
Оба решения одинаково безопасны относительно протокола, который они используют:
Вход в систему - оба требуют ввода имени и пароля, и оба шифруют эти учетные данные во время входа в систему.
Оба решения шифруют все коммуникации так же, как и для VPN, поэтому они оба не подвержены атакам «человек посередине».
В каком-то смысле Hamachi менее безопасен, поскольку ваши учетные данные хранятся на их сервере, поэтому они защищены только до тех пор, пока они не были взломаны или до тех пор, пока не используют Snowden.
Смотрите эти ссылки:
Топ 10 заблуждений протокола RDP - часть 1
Топ 10 заблуждений протокола RDP - часть 2
Как включить и защитить удаленный рабочий стол в Windows
В случае удаленного рабочего стола с пересылаемым портом злоумышленник должен выиграть только с безопасностью удаленной рабочего стола.
В случае Hamachi злоумышленник должен выиграть с безопасностью, а затем с безопасностью удаленного рабочего стола ( так же , как описано выше) также.
Простая логика: вторая атака должна быть, по крайней мере, такой же жесткой, как и ее часть, то есть первая. Если вы используете независимые учетные данные, то вторая атака будет сложнее.
Тем не менее, метод Hamachi может рассматриваться как угроза, потому что в случае, если ваш Hamachi попадает к злоумышленнику, он или она может получить доступ к другим службам (если таковые имеются), незащищенным сами по себе, которые вы никогда не намеревались открыть для общественности.
Но если речь идет только об удаленном рабочем столе, Hamachi обеспечит дополнительный уровень защиты, который улучшит безопасность.
