션한맥주 2023-04

아이피타임 공유기에도 지역차단 기능이 생긴 걸로 아는데, 그거라도 걸어두세요.
그냥 아이디, 비번 인증만으로는 조금 불안하죠.

쿠쟝 2023-04

Tailscale 같은 peer - peer vpn 쓰시는것도 방법입니다

단아 2023-04

아니면 크롬 원격데스크톱 같은 걸 쓰셔도 되지 않을까요!?

연이랑진 2023-04

ipban 설치 추천합니다.
포트 바꿔도 접속시도가 많아져서 깔았는데, 일 0~2회 정도 수준 입니다. (1번만 실패해도 15일간 밴)
돌발상황 대비로  크롬원격도 같이씁니다.

dateno1 2023-04

포트 번호 바꾸어도 보안상 그닥 보템이 안 되기땜에 절대 비추 사항입니다

수시로 털려도 되고, 같은 네트워크에 아무 장치도 없어서 추가 피해도 안 생긴다면 몰라도 아니라면 하지마세요

도카비 2023-04

무슨 근거로 포트 변경을 비추라고 하시는지 모르겠지만 서비스 기본 포트변경은 간단하지만 꽤 유용하고 기초적인 보안 설정 방법입니다.
잘 알려진 기본 포트를 가급적 유추하기 어려운 5자리의 포트번호로 변경하는것만으로 마구잡이로 들어오는 포트 스캐닝과 로그인 시도를 대부분 막을 수 있습니다.
실제 실무에서도 불가피하게 오픈해야하는 서비스의 기본 포트변경은 필수 사항입니다.

dateno1 2023-04

어차피 스캔하면 무슨 프로토콜인지 다 튀어나오기땜에 기본 포트보단 공격 빈도가 내려가지만, 없어지진 않습니다

100번 뚤려야 문제가 아니라 단 1번이라도 뚤리면 문제이므로 공격 회수가 줄어드는걸론 해결책이 안 됩니다 (그렇다고 RDP가 SSH처럼 2차 인증이라도 붙어있는것도 아니고, 기컷해야 계정 로그인이 보안 수단 전부입니다)

하루이틀 잠시 열어둘꺼라면 모르겠지만, 24/7로 주구장창 열어두면 어차피 공격당합니다

안전 찾을려면 하다못해 프록시라도 경유하게 해서 간접적으로 여는게 안전하죠

애초에 시스템 직접 제어 가능한 프로토콜(다른 보호 수단도 없음)용 포트를 직접 여는데 안전이 어딧나요?

접속 주소를 화이트 리스트로 지정하면 그나마 자동 차단되니 괜찮을지 모르지만 (이조차 공격 못하는건 아닌거같음), 선택사항이 아닌 최저요건이죠

소푸 2023-04

중간에 끼어드는 글입니다만

고정아이피로 포트번호 변경해서 RDP공개 해놓은 사람입니다.
무려 10년을 공개했지만 윈도우 보안패치와 비밀번호 관리만 잘하면 뚫리지 않습니다.

그냥 운이라고 하기에는
이런 데스크탑이 10대가 넘습니다.

10년 이상 안전 했습니다.

참고로 윈도우 10이상입니다.

dateno1 2023-04

부실한 비번으로 해놔도 10년 넘게 안 털리는 사람도 있는데, 그럼 왜 복잡한 비번이 필요한가요?

단순한 비번으로 똑같은 비번 10군데 설정해놔도 안 털리는 사람은 안 털립니다

본인이 괜찮다고 보안상 괜찮다고 하셔도 곤란합니다

글 쓴분은 안전상 괜찮냐고 묻고 있는거고, 엄연히 위험성이 남아있는데도 안전하다고 답변하면 안 되니 안 된다고 답변하는겁니다

도카비 2023-04

위 글에서 datano1님께서 언급하신 내용 모두 인정합니다.
포트번호 하나 바꿨다고 스캐닝 안들어오고 로그인 시도가 완전히 없어지는것은 불가능합니다.

하지만 서비스 기본 포트변경을 절대 비추이라고 하신것에 대해서 언급하자면,

보안에 관하여 많은것을 갖춘다면 당연히 좋겠지요.
집에서 홈PC에 RDP서비스 하나 여는데 위에서 언급하신 보안을 다 하실 수 있나요?

말씀하신 2차인증, 화이트 리스트, 게이트웨이 등을 비롯하여 세상에는 보안과 관련된 장비 및 솔루션이 무궁무진 합니다.
즉, 보안을 하자면 1에서 시작하여 끝이 없기에 가장 기본적인것부터 하는것이지요.

그 1에 해당하는것이 기본 서비스 포트 변경이라 할 수 있습니다.
당장 할 수 있는 보안이기에 안하는것보다는 훨씬 효과가 좋습니다.

어떠한 방법으로든 무엇으로든 1번 뚤리는 것을 예측할 수 없겠지만 100번 시도하여 1번 뚤린다면 99번은 차단할 수 있을테니까요.
그 1번 뚤릴 수 있기에 쓸모없다고 하는것은 너무 과하지 않나요?

저는 보안은 지팡이든 무엇이든 쓸 수있고 할 수 있다면 안 쓰고 안 하는것보다 하나라도 더 쓰고 하는것이 좋다고 생각합니다.

dateno1 2023-04

결론만 말하면 겨우 컴 1대밖에 네트워크에 없어서 추가 피해도 없는 컴의 원격조차 2차 인증 붙어있는 터널링 수단으로 돌리고 있습니다 (SSH에 TOTP 설정해서 그걸 이용해서 터널링중)

최소한도로 자신도 못 지키는걸 남 보고 하라고 하진 않습니다

효과가 없다는 소리가 아니라 그것만 과신하면 안 되므로 비추라는겁니다 (아무리 공격이 줄어들더라도 결국 1번 뚤리면 끝입니다)

도카비 2023-04

보안을 멀리서만 보지말고 가까운 눈높이 부터 챙기는것이 우선이 아닐런지요.
1번 뚤리면 끝이라고 비추라면 아무것도 안하는것이 옳은 결론인가요?

세상에 완벽한 보안이 없을지언데 dateno1님께서 언급하신 그 모든것을 하여도 1번은 뚤릴 수 있을것이고 그렇다면 세상의 모든 보안 장비와 솔루션은 쓸모가 없는건가요?

홈PC에서 특별한 보안 시스템없이 할 수 있는게 얼마나 있을까요?
포트 변경하여 안심되고 끝이 아니라 최소한이라도 할 수 있는 보안을 하라는 겁니다.

그것에 더불어 다른분들께서 언급하신 공유기의 국가별 접속 제한,  로컬보안 설정과 VPN 등이 더해진다면 조금 더 보안을 강화할 수 있겠지요.

dateno1 2023-04

어차피 1번 뚤으면 백도어라도 심던지 리버스 프록시로 연결 세션 만들던지 하면 끝이라 이후는 비번 바꾸던 뭔짓을 하던 소용 없습니다 (찾아서 다 제거하던지, 아에 다 갈아엎어야 합니다)

그 1번이 뚤릴 가능성을 최대한 낮추고, 그 시점을 늦추기 위해 존재하는게 보안 장치들입니다 (어차피 무적의 보안따윈 없습니다)

특별한 보안 시스템이 있어야 저런게 가능하다고 착각하신다면 큰 착각입니다

하다못해 본문에서 말하는 어느센가 망가져서 작동 안 하는 VPN을 재설정해서 다시 작동하게 만들기만 해도 포트 변경만으로 떄우는것보다 횔씬 안전합니다 (시간과 수고가 드는거지 이걸 진행하는데 뭔가 추가 장비나 비용이 필요한가요?)

자체 제공 VPN이 안 고쳐진다면 서버가 될 컴에 VPN을 설치후 RDP 포트가 아닌 VPN용 포트를 포워딩해서 그걸로 접속하는 방법도 있습니다 (이렇게 하면 추가 인증 수단도 설정 가능해서 더 강력한 보안을 누릴 수 있습니다)

방법이 없거나 매우 어려우면 하라고 안 하겠지만, 눈앞(본문)에 방법이 있는거니 그렇게 하라고하는데 대체 뭐가 문제인지 모르겠군요

시간과 수고가 드는것까지 아끼고싶다면 돈을 쓰던지 포기하는 수 밖에 없습니다 (이 세상에 공짜는 없습니다)

무조건 돈지랄을 해야만 보안이 확보되는것 아닙니다 (삽질할 각오만 있으면 됩니다)

애초에 아무리 좋은 장비 사봤자 설정 똑바로 안 하면 보안 꽝이기떔에 보안=삽질의 연속인건 별 수 없습니다 (기본값으로 돌리면 탈탈 털어달라고하는거랑 똑같습니다)

RuBisCO 2023-04

저도 포트 변경만 하는건 추천하지 않습니다. 이건 그냥 간단한 문제인데 포트는 외부를 향해서 열려있는 자체가 리스크가 됩니다. 이런 서비스 갯수가 한개 두개 늘어날수록 뚫릴 가능성은 제곱이 됩니다.(열려있는 서비스들의 익스플로잇 중 단 한개만 걸리면 되니까요.) 그리고 대개 해킹을 시도하는 많은 경우 말씀하신 포트변경은 기초적인 보안수단으로 가정하고 해킹을 시도하기에 광범위한 포트를 스캐닝해서 표적에서 열려있는 포트들을 찾아냅니다. 단일 IP에서의 접근을 차단해도 봇을 동원해서 여러방면에서 공격이 들어오면 소용이 없습니다. 그렇기에 개인적으론 VPN 구성을 추천드립니다. 완벽할 수는 없습니다만 요즘은 정말 편리해져서 그저 도커 이미지로 구워져 있는거 설치만 해서 바로 구축이 가능하고, 포트를 일일이 잡아주고 외울 필요도 없고, 외부접근을 VPN을 통한 접근 이외엔 전부 차단하기 때문에 VPN 자체가 털리지 않으면 안전하기에 안전성도 뛰어난 편이죠.

epowergate 2023-04

ID/PASSWD만 복잡하게 해도 충분합니다
그렇게 해도 뚤리면 뭘 해도 뚤린다고 봐야 합니다

gentoo 2023-04

해외 ip만 잘 차단 하셔도 왠만한 공격들은 거의 원천봉쇠할 수 있습니다.
요즘은 국내 ip 경유하는 공격도 있긴 있는데 그래도 거의 80% 이상은 해외 ip로 들어오기도 하고. 가정에서 서버 구성 하실 때 가장 이상적인 방법은 pre-shared-key나 인증서 기반 인증, 그리고 사용자 계정 인증으로 보호되는 고성능 vpn장비를 사용하시는건데 ... iptime 공유기는 vpn 사용시 성능이 나와주질 않을것이니. 단 windows defender는 끄지 마세요. 요즘 defender 왠만한 백신보다 훨좋습니다

dateno1 2023-04

RDP로 파일 전송 안 하고, FHD 원격 접속만 할 수준이라면 거기까지 높은 성능 필요 없습니다

저런넘보다 더 유물인 WRT54G같은 태초(?)시대 장비로도 얼마든지 가능했었습니다 (이런 초유물 (이젠 용량떔에 더 이상 답도 안 나옴) 써도 20Mbps 가까이 나왔었습니다)

RuBisCO 2023-04

OPENVPN이 아니라 WireGuard로 구축하면 저사양시스템이라도 굉장히 높은 쓰루풋이 나옵니다.

dateno1 2023-04

컴에 깔꺼면 어차피 스팩은 썩어넘치니 아무꺼라도 상관 없긴합니다 (저것 말고도 다른 프록시나 vpn도 이것저것 있음)

거기다 원격만 돌릴꺼면 몇mbps정도면 됩니다

RuBisCO 2023-04

원격도 실물 데스크탑 수준의 사용성을 보장하려면 쓰루풋과 레이턴시가 굉장히 중요합니다. 예전과 달리 요즘은 유선망 수준의 인터넷 접속이 보장되면 되니까요. 그리고 보통 VPN으로 보안을 챙기는 홈네트워크 구성은 라우터가 VPN 서버를 겸해서 내부망으로 들어오는걸 걸러내는 구성이 일반적인데 공유기들의 프로세서는 잘쳐줘도 6-8년전 스마트폰 수준이 대부분이라 OVPN 서버 세우면 쓰루풋이 떡락을 합니다.

dateno1 2023-04

응답속도는 몰라도 고해상도에서 화면 급격하게 대량 갱신 (게임이나 영상 재생) 안 하는한 큰 부하 안 걸립니다 (몇메가면 됨)

타임의 쓰X기 시퓨 성능에 뭔가 기대하진 않지만, 어지간하면 저정돈 버팁니다

거기다 못 버티면 어차피 서버가 될 컴에 깔면 되죠 (애초에 와이어가드같은 프로토콜 제공도 안 해주는 제품이니 그쪽도 쓸려면 서버에 깔아야 함)

버즈 2023-04

해커들이 생각보다 제 컴퓨터에 관심이 없더라고요?

만찐 2023-04

처음에 구성하기는 좀 번거롭지만 OpenVPN 만족하면서 사용중입니다.
무료이면서 노트북들에 모두 깔아놓으니 안정적인 내부망처럼 사용할 수 있어요.

프로게이머 2023-04

개인적으로 생각하는 건 일단 기본 포트는 무조건 포트로 바꿔주는 걸 추천 드립니다.  최소한의 보안 이라고 생각합니다.  그 외에는 여러가지 작업들을 해야죠  아무 목적성 있게 노리는 해킹은 아닐 겁니다.  편하게 맘 먹고 할 수 있는 조치부터 조금씩 하세요

RuBisCO 2023-04

외부망에 바로 여는건 매우 위험합니다. VPN 구성을 추천드리는데 OpenVPN 보다는 설치의 편의성이나 성능이나 WireGuard 쪽이 낫습니다.

네온7 2023-04

VPN 구성 추천 드려요.
저는 OPENVPN 구축해서 사용하는데 혜자입니다.~~

sbg2005 2023-05

포트 바꾸고, 비번 복잡하게 설정하고, IPBAN 사용.

요 3가지만 하셔도 개인 레벨에선 뚫릴 일 거의 없습니다.

저러고도 뚫리면 불법 프로그램 사용 등의 이유로 본인이 뚫릴 여지를 직접 만들었다 보면 될 수준입니다.

술이 2023-05

포트변경 IP밴 여러가지 다 써봐도 결국은 터미널 포트는 지정된 IP만 열어야 한다는 결론을 내렸습니다.
요즘 기기들 성능이 강력해져서 스캐닝으로 금방 노출되구요 아이데 패스워드 강력하게 해도 봇들이 수억 이상이라 빨리 털리게 만들어졌습니다. 일단 노출되면 대입방법을 응답하다보면 터미널 서비스도 먹통 되는 경우도 빈번하고 3번 틀리면 차단 걸어두면 이게 지능적으로 2번까지만 틀리고 1시간 쉬고 다시 2번 이런식으로 봇들이 돌더라구요.
결론음 SSL 게이트웨이 쓰거나 VPN 쓰거나 고정된 IP만 허용하고나 해야됩니다.
PFsense 라도 있으면 수리카타로 앞단에서 엥간한건 다 필터링 해줘서 그런거 달아 써도 될겁니다.