Безопасен ли динамический DNS для удаленного рабочего стола?

Question

Безопасен ли динамический DNS для удаленного рабочего стола?

Немного нуб, но я хотел удаленно подключить свой ноутбук к рабочей сети (особенно для доступа к сетевому устройству хранения) и натолкнулся на идею использования динамического DNS из-за динамического внешнего IP-адреса моей рабочей среды. Я читал, что NO-IP или dynDNS будет хорошим способом удаленного подключения.

Я понимаю, как это работает, но не был уверен в последствиях для безопасности, которые ему угрожают. Будет ли соединение безопасным при удаленном доступе к рабочей сети? Есть ли другие способы повысить безопасность?

1

networking wireless-networking security dns remote-desktop

Источник

Philayyy 22 ноя '15 в 22:15

1 ответ

Решение

Другие вопросы по тегам networking wireless-networking security dns remote-desktop

davidgo 23 ноя '15 в 00:30 2015-11-23 00:30 · Accepted Answer · 2015-11-23 00:30

Динамический DNS не защищает ваше соединение и не делает его изначально небезопасным - все, что он делает, - это обеспечивает удобное сопоставление (предположительно меняющегося) IP-адреса и имени хоста.

Можно утверждать, что это немного снижает безопасность, "пропуская" информацию о машине в более широкий Интернет и облегчая атаку MITM - однако этот риск действительно минимален, если принимать его в более широком контексте.

Более широкий контекст таков:

Независимо от того, используете ли вы динамический DNS или нет, вы захотите убедиться, что данные шифруются во время полета и что обе стороны аутентифицированы друг для друга. Динамический DNS существенно не помогает ни с одной из этих вещей.

Было бы ошибкой открыть порт на вашем маршрутизаторе и просто позволить любому, кто знает IP-адрес (или доменное имя), соединяться и высасывать информацию.

"Стандартным" решением этой проблемы было бы создать VPN и использовать ее для подключения удаленного устройства к локальной сети для связи с NAS.

Здесь не существует подхода "один размер подходит всем", и вы можете быть ограничены или освобождены функциональностью вашего NAS и / или маршрутизатора. (Возможно, что одно или оба устройства смогут выступать в качестве сервера VPN - в противном случае вам придется заменить одно из них или заставить их выступать в качестве клиента и получить другое устройство вне вашей сети, а также настроить VPN от вашей локальной сети к нему, а также от вашего компьютера за пределами сайта.

Возможно, вам удастся пройти достаточно далеко, если вместо использования VPN вы можете обойтись без SCP или SFTP (который шифрует соединение и предоставляет интерфейс), или даже с подключением HTTPS. (При использовании HTTPS-соединения вам необходимо убедиться, что вы можете ему доверять, т.е. соответствующий сертификат и, возможно, аутентификация на стороне клиента).