-
* 写在前面- 一、远程控制:安全性不可忽略
- 二、远控软件安全设置实测
-
* ◉ ToDesk- ◉ TeamViewer
- ◉ 向日葵
- 三、远控安全的亮点功能
- 四、个人总结与建议
写在前面
说到远程办公,相信大家都不陌生。远程工作是员工在家中或者其他非办公场所上班的一种工作模式,通过远程协作技术与同事或雇主保持联系,完成其工作任务和职责。就拿我们IT行业来说,比如程序员下班回家后,发现代码程序还有
Bug 要改,这种情况下他就可以在家通过远程控制软件来调试公司环境中的代码。
通过非办公环境的电脑来控制办公环境的电脑,运用好这项远程控制技术,可以让“远程办公”形式更加便利化、自由化、大众化!根据用户口碑和网络搜索量,当下做的比较好的几款远程控制工具有
ToDesk 、TeamViewer 、向日葵 等。
一、远程控制:安全性不可忽略
随着远程工作的兴起与远程控制工具普遍使用,“远程控制”不可避免的会在使用过程中受到安全威胁:
首先是远程密钥保护,这点十分重要。使用者能否保证远程连接密码的安全,不随意泄露给陌生人?以免被有心之人利用;
其次是身份验证和访问控制,是否有安全登录/退出机制?是否设置多项安全访问权限?确保不会被恶意访问;
然后是安全漏洞问题,攻击者通过捕捉远控软件漏洞获取未经授权的访问,但随着技术升级与电脑系统更新,这类恶意攻击已逐年减少;
最后是网络安全问题,在不安全的公共Wi-Fi网络,接收或点击来路不明的消息/邮件/邀请等,不管你使用什么软件都会存在安全隐患。
所以在远程控制中,我们必须牢牢树立安全防范意识。比如保护好远程控制密码和设备码,不要随意共享,加强密码防护等级。远程控制邀请链接不要随意分享给陌生人,以防他人盗取相关信息。在远程操作过程中,要开启被控端隐私屏,防止信息泄露。
重中之重,还是要选择一款可信赖的远程控制软件
:可以参考专业评测机构的评估结果和用户评价,选择有良好口碑和较高安全性的软件。此外,用户应在下载软件时,到官方网站或正规渠道进行下载,避免下载盗版或恶意软件。
而对于如何做到安全远控,各大远控软件厂商也都有着自己的那一套安全远程“防御大招”。本文我将测试
ToDesk、TeamViewer、向日葵这三款远程控制软件,通过实际操作来对比三款软件的安全性,并给出自己的使用建议。
二、远控软件安全设置实测
◉ ToDesk
ToDesk
是一款安全、稳定、不限速的远程控制软件,通过领先的网络技术搭建并运营自己的网络系统,拥有覆盖全球的多节点、多业务,毫秒级延时应用层路由系统,带给用户“本地化”的丝滑体验感。支持在任何场景下随时随地开启远程连接,具备文件传输、远程打印、远控摄像头、隐私屏、安全验证密保等众多功能。截止目前,ToDesk
用户量已超 9千万,是国产远程控制软件的主流产品,没有发生过任何安全事故。
这是我已经开通的 ToDesk 专业版,主界面如下:
ToDesk
安全设置要在客户端界面【高级设置】-【安全设置】进行自定义勾选。可以勾选“控制本设备需要校验本机锁屏密码”,当别人远控自己的设备时,设备是处于锁屏状态下的,必须知道锁屏密码才能进行之后的操作;
此外还提供了常规的临时密码设置:手动、每 1 小时、每 12 小时、每日、每次远控后5种时更新频率,调整为更高频的模式是保障密码安全的设置;
关闭临时密码时,系统会提示我们“设置安全密码”,自定义安全密码要不少于8个字符、包含大小写字母、数字、特殊字符,满足限定条件的密码设定也是一种提升安全性的有效方式;或者选择直接关闭被控功能,可以很好的应对突发情况;
在授权和访问控制方面,如果不勾选【安全设置】里的允许控制本设备,则无法对本机发起远程连接,在此基础上还添加了本机锁屏密码、非同账号连接手动同意的安全验证设定,当你通过了安全设定才可能与本机连接,否则也无法操作。
大家比较关注的远程隐私泄露方面,ToDesk 采用高强度 AEAD xchacha20-ietf-poly1305
算法,密钥数据只有端对端的用户知道,任何第三方都无法知悉,所以个人做好密码保护格外重要。
并在强化隐私设置上,ToDesk 提供远控后自动锁定本机、关闭隐私模式时自动锁屏、非同账号控制本设备时自动锁定客户端。
从连接校验再到隐私保护,ToDesk 几乎没有给到攻击者任何的“可乘之机”。
◉ TeamViewer
作为德国的一款远程控制软件,TeamViewer 在国内的普及度是非常之高的,特别是在 IT 行业应用非常广泛。
TeamViewer 的安全设置包括无人值守访问、随机密码、连接规则、双重身份验证、安装密钥重定向(需安装插件程序)。
相较于 ToDesk,TeamViewer 的安全性能并没有明显优势。我认为它最厉害的地方还是采用 AES(256位)会话加密,该技术基于与
https/SSL 相同的标准,号称是目前安全级别最高的加密方式之一。此外采用了基于 2048 RSA
私钥/公钥交换算法的加密方式,对传输的数据进行端对端加密,确保数据在传输过程中不被窃取或篡改。
即便如此,TeamViewer
被爆出的漏洞和安全隐患还是不少的,这也说明了其安全防御性能和机制有待提高;由于国外软件某些代理商等原因,还会被判断为商业限制使用,亦或是出频频闪退问题。
◉ 向日葵
在安全设置方面,向日葵与 TeamViewer
的机制很相似,只是在隐私保障这块更为详细,比如可以禁止同步本机粘贴板的内容;远控本机时仅允许对方访问指定的文件夹;启用黑屏等。
但是在远程控制校验方面没有设定明确的机制,比如 ToDesk 的锁屏密码校验他就是没有的。
三、远控安全的亮点功能
面对各种潜在的安全威胁,远程控制软件也经历了一系列升级打怪的成长,研发了“人无我有”的亮点功能,帮助用户提升远控安全系数。
ToDesk隐私屏、金融账户屏蔽、黑白名单
在实测过程中我发现 ToDesk 拥有一个强大的屏幕保护功能——隐私屏;当我们在主控机开启隐私屏后,主控机不会发生变化,可以正常进行控制操作;
而被控机则会这样显示(如下图),任何人都看不到我们的远程操作,很好的防止了远程内容被第三者窥视。当我们居家办公时,远程控制公司的电脑,如果不想被公司的人窥视到自己的工作内容,隐私屏将是你最好的选择方案。
后面 ToDesk
还升级了一项特殊功能,为了保证用户金融账户安全,手机打开银行、支付宝等涉及金融交易的软件时,主控端看不到被控端信息,界面会直接迷糊隐藏或者黑屏。
此外,ToDesk 还提供了黑白名单管理,通过添加对方的账户和设备 ID,进行访问安全设置,被拉到黑名单的设备会提示访问拒绝。
向日葵录像、锁定桌面、显示诊断
远程连接成功后,向日葵支持开启录像功能,所有当时操作的流程、上网记录都会被录制下来存在系统文件下,作为安全事件记录保存,可以反复查看失误之处;
另外,向日葵虽然没有 ToDesk
的锁屏密码校验功能,但是连接后可以点击锁定桌面功能,被控端只能通过解锁密码验证后方可使用,区别就是只能在连接状态下手动来操作。
并提供了显示诊断功能,随时监控远程的速度、延迟、帧率情况。
TeamViewer远程监控和管理功能
TeamViewer监控功能可以让使用者在特定的授权设备上,看到所有设备已部署的软硬件信息,还会对设备落后的漏洞软件部署补丁,使电脑系统保持最新状态;提供
iOS 和 iPad OS
屏幕共享;支持由于操作失误导致的数据误删,也能通过云备份一键还原。可惜这些功能只能享受14天免费试用,购买商业的最低年费近四千多。
四、个人总结与建议
综上,可以看出 TeamViewer 和向日葵的主要安全防御集中在控制过后的隐私保障上,远程控制的校验相对薄弱。而 ToDesk
在保障隐私的基础上,还具备控制本设备时的本机锁屏密验证、临时/安全密码验证、自动锁屏/锁定、非同账号连接需本机手动同意等一系列远程连接验证,多重安全保护机制对于恶意连接与突发情况的处理会更好。此外隐私屏和金融账户屏蔽这两大亮点相信能够吸引不少的新用户,至少我是没有在其他软件看见过这些功能。
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
