V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NoobNoob030
V2EX  ›  程序员

内网穿透被网警打电话了

  •  3
     
  •   NoobNoob030 · 2023-08-30 15:52:17 +08:00 · 26098 次点击
    这是一个创建于 443 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在公司用电脑装了 zerotier ,自己用境内服务器搭建了 moon ,一周之后公司老板接到网警电话,说怀疑诈骗人员远程控制了公司的电脑。
    之前在学校的时候用 frp 也被学校的网管找上门过。
    不懂公司用向日葵之类的软件为啥没问题,有办法不让网警关注吗?
    第 1 条附言  ·  2023-09-01 12:56:45 +08:00
    最新反转,公司确实被入侵了,查 mac 查到了财务的电脑,入侵时间也是我装 zerotier 之后
    159 条回复    2023-09-07 15:13:17 +08:00
    1  2  
    sky857412
        101
    sky857412  
       2023-08-31 09:12:54 +08:00
    内网穿透也是个人电脑呀,公司不一般都有 vpn
    raysonlu
        102
    raysonlu  
       2023-08-31 09:15:37 +08:00
    同 61 楼问,frp+tls ,能完美防范?
    mikaelson
        103
    mikaelson  
       2023-08-31 09:20:23 +08:00
    公司一直用 tinc+frp 两三年了没问题啊。。。
    wizzer
        104
    wizzer  
       2023-08-31 09:22:52 +08:00
    @NoobNoob030 偶尔连电脑,用 rustdesk 就好了
    luckyscript
        105
    luckyscript  
       2023-08-31 09:25:39 +08:00
    大公司这种都是红线行为
    rocksolid
        106
    rocksolid  
       2023-08-31 09:26:18 +08:00
    @ccppgo 楼主那老板有管理责任的
    wtdd
        107
    wtdd  
       2023-08-31 09:30:26 +08:00
    网警水平没这么高也没这么闲,应该是公司自己装的监控软件发现你了
    ugpu
        108
    ugpu  
       2023-08-31 09:35:35 +08:00
    OP 发完帖人不见了 剩下一群 吃瓜群众 在这争得面红耳赤.
    其中有:
    milestance
        109
    milestance  
       2023-08-31 09:35:53 +08:00   ❤️ 1
    说个安全一点的方案,PIKVM + TAILSCALE + 远程电路开关+ 光影猫
    1.光影猫(或者任何 CPE )通过 SIM 卡单独开一张网。
    2.PIKVM 接入这张私有网络,并连接连接自己的电脑 HDMI/USB 口。
    3.要远程的时候,用远程电路开关打开 PIKVM 。
    4.不用的时候,将远程电路开关关掉,黑客无法入侵。

    这个方案唯一有个风险,PIKVM 如果被入侵,有可能通过 USB 进一步入侵目标电脑,这个没想好特别好的方式解决。
    ugpu
        110
    ugpu  
       2023-08-31 09:36:34 +08:00
    @ugpu OP 发完帖人不见了 剩下一群 吃瓜群众 在这争得面红耳赤.
    其中有: 法盲 天正的程序员 低认知人群。。。。
    整的一个现状描述
    simplove
        111
    simplove  
       2023-08-31 09:40:57 +08:00
    哪个地市的?反正广东不至于这样
    NoobNoob030
        112
    NoobNoob030  
    OP
       2023-08-31 09:44:10 +08:00 via Android
    @simplove 厦门
    monkeyfx
        113
    monkeyfx  
       2023-08-31 09:47:00 +08:00   ❤️ 1
    真是无语,但凡有点规模的公司都不会允许内网穿透存在吧?别整什么向日葵因为国产就可以安的,之前在老东家参与护网行动的时候,手下伙伴电脑被扫到有向日葵,直接现场处置。听人劝吃饱饭,养成好习惯对自己没坏处,特殊情况提工单让公司 sre 开 vpn 有那么难吗?
    nothingistrue
        114
    nothingistrue  
       2023-08-31 09:51:32 +08:00
    The ZeroTier client is used to connect to virtual networks previously created in the ZeroTier Central web-based UI. Endpoint connections are peer-to-peer and end-to-end encrypted 「终端之间的操作是点对点,以及端对端加密的」.

    ZeroTier 这种是两端经服务器协商之后的直连( IPv4 公网直连、NAT ,或者 IPv6 直连),然后国外「尊重隐私的傻子」,在加密上又不会留特征或后门(重点是也不会留可以作为证据的日志)。最终就表现成了:P2P 连接、内容加密、不像游戏串流、无法留特定日志。这跟肉鸡控制是一样的表现,网警要不关注那就是真傻子了。

    向日葵、ToDesk 这种专做国内的,还是主要面向企业员工的,想都不用想他们铁定有后门。最简单的来说,每个连接的时间、地点、人/实名手机号,它都是记录的。这种情况下,网警要是再去关注,那就是跟上面被打点过的领导过不去。

    本质上来说,不管你用啥,非经 VPN 的方式连接进公司内网的行为,都是高危操作。向日葵、ToDesk 也只不过是走在灰色地带上,不好管而已,并不是说它们就能随便用。(也不是不能用,被控端电脑,跟公司内网再做好隔离就行了)
    ppqqows
        115
    ppqqows  
       2023-08-31 09:54:06 +08:00
    大公司不能乱搞,专业 IT 的设置也让你想搞都搞不了。
    小公司根本不管。

    楼主这种属于夹在中间的?
    NoobNoob030
        116
    NoobNoob030  
    OP
       2023-08-31 10:06:58 +08:00 via Android
    网警怀疑我们被诈骗了,宣传了一下防诈骗就没事了。
    公司规模小,可以说基本没有安全措施,生产环境的密码直接明文写在文档里,实习生都可以删库跑路。
    不过如果真因为我弄了穿透导致损失我肯定得担责,所以我早就关了。
    奉劝各位多留一个心眼,op 初入职场,小孩子不懂事搭着玩的😬
    fulvaz
        117
    fulvaz  
       2023-08-31 10:11:36 +08:00
    搞这些干啥,还不如劝老板出钱开 vpn

    但凡出事情,你牢底坐穿
    Tounea
        118
    Tounea  
       2023-08-31 10:17:00 +08:00
    @yinmin 公司搭 Openvpn ,在外用 openvpn 连公司内网也不行?一般公司谁愿意掏钱去买有证的 vpn 硬件设备!
    garlics
        119
    garlics  
       2023-08-31 10:21:18 +08:00   ❤️ 1
    @emptyiscolor 现在有句更通俗的话:放下助人情节,尊重他人命运。
    Torpedo
        120
    Torpedo  
       2023-08-31 10:27:55 +08:00
    法律是最低的底线。内网穿透不考虑法律问题,技术上也是安全红线
    AkaHanshan
        121
    AkaHanshan  
       2023-08-31 10:28:29 +08:00
    没出事还好吧,出事了总有一条法律条文能等着你的,况且这么搞不合规的话,可能出事了违反的条文一张纸列不下....
    abcbuzhiming
        122
    abcbuzhiming  
       2023-08-31 10:29:17 +08:00
    @Tounea 你们怎么还没 get 要点呢?你用任何技术手段都不重要。重要的是,这个从外部连进公司内网的操作,得到了公司的背书没有?也就是公司的可以负责的人,点头同意了没有?同意了,出了事是他的锅,没同意过,出了问题就是你的锅。
    公司不愿意掏钱买有证的 VPN 硬件设备,那是公司的问题,你擅自行动造成公司安全风险,那就是你的锅
    zzb90s
        123
    zzb90s  
       2023-08-31 10:35:39 +08:00
    @falcon05 哈哈 想起新闻上说某单位员工用 VPN 被警察通报到公司的事了 出事了你就有事 没出事就没事。
    zzb90s
        124
    zzb90s  
       2023-08-31 10:40:58 +08:00
    @CNZCC 还是别搞了吧 大不了在公司加加班干活 跑回家还远程搞回去加班没啥意思。
    zzb90s
        125
    zzb90s  
       2023-08-31 10:43:25 +08:00
    @guabimian 自己带一台笔记本丢工位不就行了 想干啥就干啥 私人设备又没事。
    zzb90s
        126
    zzb90s  
       2023-08-31 10:45:15 +08:00
    @ugpu 哈哈 OP 了解到事情严重性 赶紧删号下线溜了
    DAPTX4869
        127
    DAPTX4869  
       2023-08-31 10:48:15 +08:00
    @raysonlu #102 外面再套一层 V2 /dog
    oneKnow
        128
    oneKnow  
       2023-08-31 10:48:52 +08:00
    想请问一下各位老哥,群晖用的 ipv6 公网,但是公司没有 ipv6 ,群晖官方的连接又好像用不了端口,在公司是用的 zerotier 连回去的,但是听楼上这么一说,吓得我立马把 zerotier 卸了,请问一下还有什么方法可以连回去没
    bitkuang8
        129
    bitkuang8  
       2023-08-31 10:52:58 +08:00
    那微信网页开发那些需要内网穿透的场景也不合规吗(认真脸
    yufanwind
        130
    yufanwind  
       2023-08-31 11:07:23 +08:00
    @oneKnow Cloudflare zero trust 隧道,除了速度慢没别的毛病
    ccppgo
        131
    ccppgo  
       2023-08-31 11:08:53 +08:00
    @garlics 进阶版, 嘲笑他人命运
    Maerd
        132
    Maerd  
       2023-08-31 11:10:21 +08:00
    @bitkuang8 那种场景也不是个人直接不打招呼就穿透吧
    oneKnow
        133
    oneKnow  
       2023-08-31 11:15:55 +08:00
    @yufanwind #130 这个是不是没有内网穿透的风险,要从公司连回去,我怕像老哥们说的一样吃公家饭
    wukaige
        134
    wukaige  
       2023-08-31 12:04:32 +08:00
    吓得我赶紧把 zerotier 卸载
    Dipous
        135
    Dipous  
       2023-08-31 12:17:56 +08:00
    @guabimian 翻墙和内网穿透一个性质吗?你在家浴室打望远镜往大路随便看,和在路上拿望远镜往你家浴室看你觉得
    Dipous
        136
    Dipous  
       2023-08-31 12:26:15 +08:00
    @nothingistrue 抛开合规性问题想讨论一下,网警是通过什么方式查到流量特征的异常的?在企业出口审计还是别的可能性?
    snBDX1b0jJM4ogKd
        137
    snBDX1b0jJM4ogKd  
       2023-08-31 12:38:17 +08:00 via Android
    @FastAce 是用的深信服的产品么
    ambition117
        138
    ambition117  
       2023-08-31 13:04:50 +08:00 via iPhone
    笑了,要玩这种的话技术不过关就别玩了,首先至少要跟大厂 it 一个水平吧

    只会照着网上搜来的教程玩的脚本小子,怕是哪天被黑客当跳板了,被网警抓了,都不晓得发生了什么
    IvanLi127
        139
    IvanLi127  
       2023-08-31 13:06:54 +08:00 via Android
    @guabimian 你用的代理是正向的。。。正常不用作反向。。。更不作内网穿透使用。。。
    knightgao2
        140
    knightgao2  
       2023-08-31 13:31:39 +08:00
    还行 我还听说过 高位端口映射出去被当成肉鸡的
    systemcall
        141
    systemcall  
       2023-08-31 13:38:18 +08:00
    感觉有可能是自己用的东西有后门,被别人挂马当肉鸡了
    不要乱动公司的电脑,更不要乱开放可以公网访问的端口。出了事都是你的锅。
    如果企业的网络配置得很业余,内网的机器确实有可能开个可以从外网访问进来的高位端口。之后要是上面挂了什么诈骗网站,出了事都会推你头上,哪怕你不知情,但是狼是你放进来的
    有很多公司有各种审计系统,这个会拦截或者只上报
    guaiZhang
        142
    guaiZhang  
       2023-08-31 13:55:39 +08:00
    牛,老板开人都不需要编理由了,直接送走
    heyleo
        143
    heyleo  
       2023-08-31 13:58:14 +08:00
    woc ,看下来感觉有点吓人了。。在公司分的测试环境的堡垒机上搭了一个内网穿透,用的 cloudflare ,自己的域名,平时就自己一个人用;我这种情况是不是要先停了这个内网穿透。。
    heyleo
        144
    heyleo  
       2023-08-31 14:05:44 +08:00
    @heyleo 还没停。。紧急去加了一条非常严格的 waf 规则
    proxytoworld
        145
    proxytoworld  
       2023-08-31 14:20:08 +08:00
    @SHF #61 你是不是不知道 tls 也有指纹。。
    ShuA1
        146
    ShuA1  
       2023-08-31 15:26:04 +08:00
    网警有五元组信息, 可以分析和预警
    asm
        147
    asm  
       2023-08-31 15:37:00 +08:00
    那些不愿听的可以继续,反正听不进去的,自以为聪明还会继续用,呵。
    感觉 op 这个是触发国内某云的规则后,报给网警的。
    mahoo12138
        148
    mahoo12138  
       2023-08-31 15:48:38 +08:00
    羡慕你司还能网络内网穿透了,我司网络安全中心直接限制住了,我 frp 啥的都不行
    xsen
        149
    xsen  
       2023-08-31 15:59:51 +08:00
    1. 不要在默认的公司电脑系统装任何与工作无关软件
    2. 若要装那就虚拟机装个 linux+nat ;从技术来说,单纯的网络流量特征判定是很难发现的

    3. 采用 vpn 性质的,如 wireguard 或者 tailscale
    若要自建穿透服务器,不要用任何大陆的 vps (包括不限于阿里、华为、腾讯等)
    SHF
        150
    SHF  
       2023-08-31 20:20:30 +08:00
    @proxytoworld 学到了,tls 确实有指纹,把 SSLVersion,Cipher,SSLExtension,EllipticCurve,EllipticCurvePointFormat 按顺序排列然后计算 hash 值,便可得到一个客户端的 TLS FingerPrint ( https://ares-x.com/2021/04/18/SSL-%E6%8C%87%E7%BA%B9%E8%AF%86%E5%88%AB%E5%92%8C%E7%BB%95%E8%BF%87/)

    但是这种指纹应该是 go 语言编写的应用程序的通用的指纹吧,很难精准定位是 frp 的

    另外一个方案是改一下协议,用 quic 会不会好一点,没有 tls 层,而且协议比较新,有可能指纹探测还没开发出来?
    fighterhit
        151
    fighterhit  
       2023-08-31 20:30:56 +08:00
    @bobryjosin “vpn 进来所有操作都是在内网保护环境下进行” 这个怎么理解呢?是什么在保护?还有就是假如我把内网服务用 ssh 隧道转发到某个公网节点上,这样和内网穿透有区别吗?
    bobryjosin
        152
    bobryjosin  
       2023-08-31 21:55:37 +08:00
    @fighterhit 反向代理和正向代理的区别,vpn 是正向代理,内网穿透是反向代理
    --
    示例:80 端口是你的服务,9090 是 VPN 端口
    1. 内网穿透:内网服务(80)->公网节点(80)<-用户 == 内网服务<-用户
    2. VPN:内网服务(80)<-VPN 服务器(9090)<-用户 VPN 客户端
    内网服务是可控的,VPN 服务器也是可控的,用户只有通过 VPN 服务器才能访问你的服务,是 VPN 在保护你的服务。
    内网穿透只有你的服务可控,任何人都可以通过公网访问你的服务,你只可以在服务上做认证,如果被干掉,内网服务直接完蛋。
    --
    ssh 隧道转发算内网穿透,本质上内网服务把端口放在了公网节点上,你的服务是直接暴露在公网上的,没有任何保护措施,任何人都可以访问。
    --
    caotian
        153
    caotian  
       2023-09-01 09:34:39 +08:00
    小公司,买不起好的设备, 但是买的 tplink 路由器自带了 L2tp vpn 呀, 需要的同事人手配置了一个账号, 拨号的宽带 ip 不固定,装个 tplink 的 app, 可以实时看到 ip,需要远程的同事问我一下,我就 app 上看看 ip 多少告诉他. l2tp 兼容性很好, mac,windows,android,ios 都原生支持,不需要安装软件. 但是哪个同事敢给公司电脑做内网穿透,肯定也是不能容忍的.
    key001
        154
    key001  
       2023-09-01 11:36:18 +08:00
    这不很简单吗 走正常的 http 协议 就可以 比如 websocket
    NoobNoob030
        155
    NoobNoob030  
    OP
       2023-09-01 12:52:57 +08:00
    最新反转,网警真查到了,的确是被入侵了,查 mac 查到财务的电脑给诈骗团伙入侵
    yufanwind
        156
    yufanwind  
       2023-09-01 14:01:56 +08:00
    @oneKnow 对的,前提是你这程序部署到家里而不是公司,你从公司访问家里是没问题的。而且不用在公司电脑上装任何的东西
    flyico
        157
    flyico  
       2023-09-01 14:15:14 +08:00
    这种事情,不出事的时候你好我好大家好,出了事,你有 1000 张嘴都没用,因为你完全不占理,公司还可以将所有屎盆子都扣在你头上
    FastAce
        158
    FastAce  
       2023-09-07 15:06:50 +08:00
    @NoobNoob030 所以这块后续怎么说
    NoobNoob030
        159
    NoobNoob030  
    OP
       2023-09-07 15:13:17 +08:00
    @FastAce 后续是跟我没关系,确实有人入侵了系统,有点巧。。。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3704 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 10:23 · PVG 18:23 · LAX 02:23 · JFK 05:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.