Bảo mật mạng được thỏa hiệp (Cần tư vấn) VPN, VNC, XP

Tôi đang chạy một mạng LAN nhỏ không có WiFi. 2 máy XP, 1 Vista, 2 máy in và đầu ghi hình cho camera an ninh.

Tuần trước tôi đã thiết lập RealVNC (phiên bản cá nhân, không mã hóa) để tôi có thể xem từ xa các máy tính trong mạng.

Tôi cũng thiết lập một VNC với LogMeIn Hamachi để tôi có thể truy cập mạng LAN từ internet.

Tôi đã mở cổng 5900 trên tường lửa của mình.

Ngoài ra, tôi đã tắt Xác thực trong RealVNC để nhận ra rằng bảo mật thông qua Hamachi là đủ.

Tôi đã lên kế hoạch đóng cổng 5900 và kiểm tra xem liệu thiết lập có còn hoạt động không.

Xin thưa, sáng nay có người truy cập máy tính của tôi qua VNC khi tôi đang ngồi trước máy. Tôi thấy chương trình khởi động và chuột di chuyển.

Trước khi nghĩ tôi đã ngắt kết nối modem của mình. Tuy nhiên, hiện tại tôi không thể tìm thấy bất kỳ nhật ký nào của các địa chỉ IP đến. Tôi đã kiểm tra Windows Firewall và tùy chọn đăng nhập các kết nối đến không được bật.

Tôi cho rằng thiết lập của tôi sẽ an toàn vì tôi đang sử dụng VPN được bảo vệ bằng mật khẩu.

• Tôi đã đi sai ở đâu?
• Làm thế nào tôi có thể tự bảo vệ mình?
• Tôi có đang được nhắm mục tiêu cụ thể không?
• Làm thế nào tôi có thể tìm ra nó là ai?
• Tôi nên đi đâu từ đây?

Ngay bây giờ tôi sợ thậm chí kết nối mạng LAN của mình lại với internet.

Xin tư vấn!

Dưới đây là một số bước để cải thiện cấu hình:

Chà, bây giờ chúng ta cần những cơ chế an toàn này để bảo vệ XP hơn bao giờ hết. Nên có một tài khoản quản trị viên trên mỗi máy, tối đa và đây không phải là tài khoản mặc định của Quản trị viên trong bộ ứng dụng Windows đi kèm với Windows - đó là tên tài khoản chỉ bạn, chủ sở hữu máy biết. Theo cách đó, nếu thứ gì đó độc hại xâm nhập vào hộp, nó sẽ chỉ có khả năng phá hủy hồ sơ của bạn chứ không phải toàn bộ HĐH.

Tài khoản của bạn cần trông như thế này - tài khoản Quản trị viên mặc định bị vô hiệu hóa với người dùng khác được tạo cho các tác vụ quản trị viên, với mật khẩu mạnh.

Cuối cùng, hãy đảm bảo bạn vô hiệu hóa việc liệt kê tài khoản máy tính cho người dùng ẩn danh để không ai có thể / có thể truy vấn máy XP để biết tài khoản nào có mà không cần xác thực. Với tất cả những thay đổi mà chúng tôi đã thực hiện ở trên, điều này dù sao cũng sẽ rất khó khăn nhưng bảo mật tốt là cách tiếp cận nhiều lớp, không phải bất kỳ viên đạn bạc nào.

Windows XP cần phải đáp ứng với lưu lượng không gửi đến nó vì đó là một vectơ khổng lồ để tấn công ngay cả trong một ngày tốt. Điều này có nghĩa là không có dịch vụ nghe như chúng tôi đã thực hiện ở trên nhưng chúng tôi sẽ nhấn mạnh vào vấn đề này bằng cách kích hoạt tường lửa và đặt nó để chặn tất cả lưu lượng truy cập vào mà không có ngoại lệ.

Không có giới hạn tường lửa bên ngoài trong XP, vì vậy điều này sẽ tốt như chúng tôi sẽ nhận được. I triệt để khuyên bạn nên tăng gấp đôi tường lửa với một cái gì đó bên ngoài và cấu hình các hạn chế ra bên ngoài quá.

Tài liệu tham khảo

• Bảo mật Windows XP sau tháng 4 năm 2014

• Ghi chú nghiên cứu Windows XP SP2

Vì một người khác chỉ trả lời điều này ... VNC không được mã hóa giống như mở cửa trước của bạn, sử dụng XP giống như khóa một cánh cửa mỏng manh, và Hamachi, eh, VPN của một người lười biếng nhưng không tệ.

Có vẻ như bạn chưa thực sự khóa VNC vào VPN và nó vẫn có thể truy cập công khai qua internet. Những gì bạn cần làm nếu bạn muốn VNC không mật khẩu (eugh, chỉ cần sử dụng RDP) trên mạng LAN của bạn là khối cổng VNC trên cổng internet của bạn nhưng để nó tự mở trên máy. Điều này có nghĩa là để thử truy cập VNC, người ta cần phải truy cập mạng cục bộ (I.E. VPN'd in).