Re: [請益] 外面的電腦可連回NAS看瀏覽器嗎
※ 引述《a33935555 (心任)》之銘言:
: 標題: [請益] 外面的電腦可連回NAS看瀏覽器嗎
: 時間: Mon Jul 11 15:02:31 2022
:
:
: 公司的電腦有管制不能連巴哈FB及遊戲類的,
: 請問可以連回去NAS(Synology)再上網嗎?
: 主要目的如下:
: 1、上網隱私不被安管知道
你的上網隱私是怎樣的隱私法?
知道你上那網站?還是看你輸入什麼搜尋什麼?
: 2、午休可以看巴哈,或上FB
以下是肥宅魯蛇低薪鳥IT我的看法
先回答第一點,上網只能看你去哪,並不知道你看的內容
就像進去猴鐵路,但知道你進大門口,但不知道你在幾號房
更會不知道你輸入什麼內容,連帳號密碼都不知道了
而且知道你去那的前提是,必須有導入netflow或者是左岸隱私破壞者
深*服等系列產品,但據我所知,深*服在臺灣頗少公司導入吧
第二點.午休時間看巴哈跟上FB,手機拿出來滑,應該沒有人會怪你吧
都說是"午休時間了"
若要達成你說的功能以資訊從業者角度來看
你最少要過兩關
第一個是電腦install權限,有規模的公司一定會導入AD
而大部分的權限必定是Domain users
(如果user都是Domain admin,請跟我講,我要參觀)
如果真的可以自由地在電腦安裝軟體
你第二關要遇到的是firewall,現在大部分防火牆都是次世代防火牆
既然都嚴苛到鎖特定url,沒道理不鎖application
https://upload.cc/i1/2022/07/14/iRCgNc.jpg
這個是我在公司做WFH 利用wireguard連回家的服務器的測試
就算改了port 防火牆還是抓得出來他是那一隻application
何況wireguard屬於比較新的vpn協定了,其餘的vpn更不用講
: → MuiMui : 有內建VPN工具 07/11 15:03: → MuiMui : https://tinyurl.com/bdfmjtej 07/11 15:06: 推 stonys : 硬體夠強,可以開VM遠端連回NAS的虛擬機上網 07/11 15:06: → fujisawa : 如果你的公司沒檔 可以用Tailscale開Exit Nodes 07/11 15:28
這個必擋,大部分防火牆的設定應該是白名單設定
非名單內全部deny或drop
: → fujisawa : 優點是設定無腦又不用開Port 07/11 15:29: 推 andy199113 : 可是網管還是知道你有連線行為阿 07/11 15:57: → tomsawyer : 同樓上 看影片類且單一vpn節點很容易被抓流量 07/11 16:03: → tomsawyer : 很白癡的想繞過網管的想法lol 07/11 16:03
繞過去請找yoyo叔
: 推 balius : 用自己手機的行動網路吧,用公司的除非你自己有權限 07/11 16:09
以上正解,最快就是掏自己的裝置
: 噓 B0988698088 : 都買s了不會去他官網查vpn怎麼設定喔?不過反正你 07/11 17:31: → B0988698088 : 設定了遲早也是被鎖跟約談 07/11 17:31
第一關就過不去了,約談的機率不會有
: → asdasd70294 : 也可以家裡電腦開著,用AnyDesk 之類的遠端桌面連回 07/11 17:58: → asdasd70294 : 家,也不用vpn那麼麻煩,流量的話就不知道有沒有比 07/11 17:58: → asdasd70294 : 較少就是了 07/11 17:58
能鎖到這等級,遠端遙控軟體不會鎖也不可能
: → labbat : MIS都看得一清二楚,到時候被請去喝咖啡談談 07/11 18:22
老實講我懶得看,工作都做不完了,還看這個
: 推 p72910 : 最近在fb的nas社群看到有人分享vpn要開在router比在 07/11 18:46: → p72910 : nas安全 07/11 18:46: → a33935555 : 看了大家的意見,我還是用手機上巴哈跟PTT,不然功 07/11 20:01: → a33935555 : 力太弱,可能用不到一天就被叫去了 07/11 20:01: 推 sskyis : 公司內都用GCP開虛擬機 07/11 21:18
這是一個方法,費用有點高啊
: 推 ian41360 : 如果你真的可以裝VPN 07/11 21:50: → ian41360 : 建議裝anydesk或chrome remote比較方便,至少是連 07/11 21:50: → ian41360 : 回google伺服器,不是連回你家IP,或許流量不大IT 07/11 21:50: → ian41360 : 不會約談你 07/11 21:50
必擋
: 推 hollen9 : Docker 裝 Firefox+VNC 的 Image 07/11 22:29
VNC絕對會被防火牆辨識出來
: → hollen9 : 不過VNC流量很大就是 07/11 22:30: → justice2008 : 我都遠端連回家發ptt廢文 就是怕被抓包上班的時候在 07/11 22:46: → justice2008 : 發推文 07/11 22:47: 推 Baternest : 手機USB數據分享 反正是吃到飽 07/11 23:23: 推 cs8425 : SSH Tunnel或者自己寫一套類似的花不了多少時間 07/12 00:31: → cs8425 : 要偽裝成連到多的IP最後再走同一個IP出去 需要多花 07/12 00:35: → cs8425 : 點力氣就是(先確定出事不會找你算帳 07/12 00:35
ssh Tunnel 有點難度啊,而且你走的是443還是22?
: → glen246 : 有些公司直接寫明禁用非公司核准的開源or付費軟體, 07/12 03:16: → glen246 : USB、外網全鎖、監控、敏感資料偵測、資產軟體裝好 07/12 03:16: → glen246 : 裝滿,一旦被判定非法,輕者被叫去約談,重者就是 07/12 03:16: → glen246 : 被公司汰除 07/12 03:16之前朋友公司就是有某課長等級的用自己的私人筆電接節費電話的網路
用盜版的**軟體被抓,直接發函給公司資訊單位
因為線路根本不是自己管轄的,經過清查,才查出來這條節費電話網路
掛在公司名下,也沒有防火牆管理,聽說賠了三十萬左右,課長被降等減薪一年
考績肯定不好看
: 推 x20165 : 下載tor看看 07/12 07:58: → spfy : 比較簡單的方式大概是額外弄一台私人裝置然後用有 07/12 08:18: → spfy : PIP功能的KVM(並沒有 07/12 08:19: → tomsawyer : 別鬧了 看到.onion還不直接開除lol 07/12 08:33: 推 amilkamilk : @p72910 想請問一下為什麼? 07/12 08:44: 推 p72910 : 因為在nas端開vpn要port forwarding給路由器,但在r 07/12 08:53: → p72910 : outer端不用 07/12 08:53: → tomsawyer : 不只有forward的問題 如果不幸(不太可能)被惡意加 07/12 09:28: → tomsawyer : 密的成本太昂貴 且router通常有提供相關服務 07/12 09:28: 噓 B0988698088 : nas就放資料的地方 廢話你覺得開在router安全還是 07/12 11:18: → B0988698088 : 直接一路開到nas安全? 07/12 11:18
老實講,對我來說都是一樣的
除非router買到商業等級的,否則消費等級的router漏洞不少
: 推 thatsocool : 直接買台平板用手機網路看吧... 07/12 13:20: 推 lianpig5566 : 開在router或nas根本沒啥差異 07/12 18:36: → lianpig5566 : 你nas不開vpn 但webui一樣開著還不是一樣 07/12 18:36: → lianpig5566 : 你開在router 被破之後進到內網還不是一樣 07/12 18:37: 推 lianpig5566 : 個人是比較推薦用chrome remote,VPN也很容易被抓到 07/12 18:39: → lianpig5566 : VPN開在router比nas好的一點就是少一層forward,比 07/12 18:39: → lianpig5566 : 較不會因為NAT而出現狀況 07/12 18:39: 推 changchichun: 不能說沒差異唷,有的router 會有專門的VPN晶片 07/13 09:27
你說的應該是居*牌的吧,專精做VPN裝置的
: → changchichun: 比起用NAS那開個管理界面就喘到不行的CPU, 在VPN效 07/13 09:28: → changchichun: 能上應該會有不少差距 07/13 09:28: → fujisawa : VPN會需要什麼專用晶片?XD 買x86 CPU的 效能絕對屌 07/13 11:12: → fujisawa : 打一般的品牌Router方案 07/13 11:14: 推 chang0206 : 沒錯,X86的router 肯定海放一般router 07/13 11:39: → chang0206 : 不過,台灣應該不太好買到這種類型的軟路由? 07/13 11:40: → fujisawa : x86 CPU是指NAS啦 沒說清楚 07/13 12:20: 推 p72910 : ._./ 我router高通四核心可以嗎 ? 07/13 14:39
其實討論晶片沒啥太大意義,因為你只有一個人在使用
品牌nasCPU在怎慘,都足夠用
: 推 lwrwang : VPN呀 07/13 18:49: 推 s78513221 : 然後這些資安妻管嚴的公司卻整天出資安問題 07/14 07:33
嗯...如果你家裡有Web server、APP Server、金流、網購、發票平台
Mail Server DB Server 等對外服務,加上上百人在使用電腦,各業務職掌不同
每個人上網需求不同,業務需求不同,再來跟我談資安妻管嚴這個問題
好吧,如果真的真的想在午休時間讓老闆看到你沒拿出手機滑
而是奮電腦疾鍵盤的用公司電腦辦公,結果是在上巴哈等FB網站
謀取好的考績,還有一個方法,請參考
https://www.kasmweb.com/docs/latest/_images/single_install2.png
https://www.kasmweb.com/docs/latest/install/single_server_install.html#installation-guide
M01也有人介紹
【Kasm】 零信任安全上網工具 拋棄式瀏覽器、Linux桌面
https://www.mobile01.com/topicdetail.php?f=508&t=6573952
可以自己在家裡架,防火牆只能看到ssl出去
如果目的地是台灣,更不容易被抓
另外一種是去買虛擬機來放
--
看中國有上網行為管理器這東東
還是監測的到對Kasm server的異常流量吧
想抓還是可以抓,但ssl連線,然後dst是臺灣 沒花時間去撈的話,很難抓,再加上流量不大的話
想問一下 openvpn走443 防火牆能擋住嗎?
ovpn 的 tls 長的和 https 不一樣喔
沒有擋不擋得住這回事, 只有想不想擋
很多單位都有買可以 mitm 的設備
簡單來講,左岸長城能擋掉的,一般次世代防火牆也能擋掉 就翻牆功力,我們絕對輸左岸牆國他們
感謝優文
所以最直接的解法就是連手機網路對吧?
最簡單解法就是拿自己的裝置來用啊 除非電腦沒鎖定usb、藍芽、wifi 讓你可以用手機分享網路,不過嘛 這個是重大資安違規的說
※ 編輯: arsehole (125.230.209.119 臺灣), 07/14/2022 17:48:27Domail?? 是Domain吧
哈哈哈啊 我真的打錯了 感謝你提醒
家中918+架虛擬機,再從公司用443或80port連回家中D
SM開虛擬機上網,但是速度很慢
443 port的ssh tunnel硬要抓還是抓的出來啦
自寫的部份 我是說裝成ws/http那堆 就怕直接白名單
直接用手機啦 不是要你用手機分享網路給電腦 這是
在大部分公司都是重大違規喔
中國那邊的ShadowsocksR你們擋的掉嗎?
你要看是怎樣的規模,如果是左岸防火牆數以千萬計等級的在上網 只能靠特徵去阻擋,如果是肥宅魯蛇兩百多台電腦使用數量 看流量異常就知道就能擋了
有個鬼故事是老闆覺得資安都很閒,然後資遣整批人
這種要嘛就是公司規模不算大,對外服務也不多,養人不如外包給SI 只要出一次資安事件,基本上就會乖乖的花錢或養人了
SSr跟V2ray也有http偽裝的ssl封包吧 不知道有沒有
效就是 但單節點大流量就是自殺 誰家沒有netflow的
不少公司也沒買netflow啦,只看防火牆產出的report 不然就是資訊人員自己架一個open source 的netflow 然後離職就沒人會使用了
話說user權限會阻擋rndis的自動設定嗎
你可以試試看啊,通常要如果要安裝手機的驅動,應該都一律無法安裝 因為沒權限
※ 編輯: arsehole (125.230.209.119 臺灣), 07/15/2022 09:14:19黑,這個kasm蠻有趣的 有點類似VDI 或者是xenApp ?
我研究了一下,其實可以裝在我家虛擬機試試看,假日花點時間來試裝看看好了 然後在看公司防火牆怎判讀這連線是什麼
※ 編輯: arsehole (125.230.209.119 臺灣), 07/15/2022 10:07:08應該就看到是https吧
星期六花了一點時間把KASM裝了起來 沒有想像中的難 由於我是用家裡的proxmox用lxc安裝,會遇到一些小問題 不過問題不大,但要花一點時間
https://upload.cc/i1/2022/07/18/PLiMJf.jpg
從家裡的防火牆看對外連線,大概就這幾個連線
https://upload.cc/i1/2022/07/18/MfFU38.jpg
本來想強迫他使用Adguard來篩掉一些廣告 結果無用 播影片會吃頻寬,吃的是雙方的頻寬 然後畫面縮小的時候,youtube會停止播放 發現他只能使用兩個小時,結果是我裝錯版本 重新裝Community 版本就沒這個問題了
https://upload.cc/i1/2022/07/18/SFeK3q.jpg
新版本的畫面
https://upload.cc/i1/2022/07/18/My106X.jpg
看來問題應該是語系問題 明天從公司連看看就知道他怎跑了
※ 編輯: arsehole (125.231.153.178 臺灣), 07/18/2022 00:17:45推個 漲姿勢
KASM最大的問題應該是輸入中文是亂碼吧
試完了
https://upload.cc/i1/2022/07/18/PY2u5W.jpg
防火牆解出來的確是443 參考kasm官方文件的安裝,我裝成其他的port 改成其他port會被防火牆deny,因為非443por在防火牆認定非標準的service 當然原po想要試試看也可以借用,要租用也不是不行..
※ 編輯: arsehole (125.230.209.119 臺灣), 07/18/2022 23:43:14好奇IT會將公司設備都mitm嗎?
不一定 要MITM必須要先裝憑證 除非程式本身就裸奔
Kasm 我有包好一個支援中文的chrome我有放在docker
hub上blueoick/ms-chrome,有需要的可以參考看看
深*服真的是隱私破壞者,前一間公司有用過,雖然是
舊版的,但大部分都還是看得出來。
Kasm在Advanced Settings開IME Input Mode能打中文
爆
[問卦] 女孩說 你月薪才35K真的負擔得跟我約會?女孩說 你月薪才35K真的負擔得跟我約會? LINE上看到的對話圖 男的說 假日約會吧 女的說 你月薪才35K真的負擔得起跟我約會? 我算給你看爆
[討論] 政黑的都是瘋子?不,這是有原因的。剛剛在巧芯那篇推文底下,四趴非常不解為什麼政黑常見id都一直大喊「唸出來」 要上班摸魚上ptt的公務員大聲唸出留言,不管他是挺綠的還是挺蔡英文的都一樣。 有人推文了這句: : 推 patiger: 我覺得4%現在應該:政黑的都是瘋子 06/15 19:46 其實我想跟四趴講一下爆
[問卦] 有生的跟你說羨慕你沒生…是幹話嗎?小弟年近40,婚後約10年,目前膝下無子。 我爸媽或岳父母以前會催 但我考量很多因素,不想生,我老婆也不想生,所以他們長輩也就放棄了哈 只是我們自己的親戚朋友,或是堂哥姐,表弟妹等等,大多是同年齡層的 總會跟我們說,好羨慕你們沒有生小孩喔,可以過兩人世界真好,想去那就去拿,又說養72
[閒聊] 現在大部分的年輕人不會使用電腦好奇問下現在大部分的年輕人是不是不會用電腦 公司禮拜一來了個新人,不要說excel 他連一般鍵盤的九宮格數字鍵在哪都不知道,還要主管大聲咆哮加我熱心幫忙 新人才知道九宮格數字鍵在哪,好奇在智慧型手機流行下 會不會有大部分的年輕人不會用電腦啊41
[心情]如果新郎是你就好了與前任女友分手也已經好久了 當年是學生純純的愛 單純的欣賞、單純的喜歡, 見過雙方的家長,相處得很融洽 小時候交女友前還會列出一長串條件爆
Re: [閒聊] 你行你上 狗輯與小威 仇人組合補:額外提要 阿狗跟阿賊本來在阿狗實況台聊,後來聊天室一直有人說小威臭阿狗。 阿狗一直被CUE到,就去要DC++了。 承上對話 狗哥:「你說我播的很爛還是怎樣啊?」 小威:「PTT的人在講的啊!你不要...」54
Re: [討論] 公司信箱有駭客在搞: : 小弟公司信箱 : : 會有人冒用ID發釣魚郵件 :38
[心得] 這樣的停損理由你可以接受嗎?舉台積電為例好了,假設當初買在650,688沒賣,一路往下 640你賣掉了,合計虧損13758 600你又進場,結果又虧,又賠13465 550你再度進場,還是又虧,又賠1317349
[閒聊] 你知道你在養房東嗎房客只要問我買房好嗎。我都是回。如果是自住。當然買 然後分享他們想買區域的優缺點 如果我知道的話 有一個房客還直接看房錄影傳給我。然後我們廚房客廳房間一一討論 最後下一個結論很適合你。他就買了 房東叫人買房。其實我覺得就是單純不想說違心之論