V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wudidangteng
V2EX  ›  信息安全

小米公司员工私自将公司内网端口映射到公网

  •  2
     
  •   wudidangteng · 2020-11-17 14:36:15 +08:00 · 37441 次点击
    这是一个创建于 638 天前的主题,其中的信息可能已经有所发展或是发生改变。
    2020 年 11 月 17 日上午 11:56,小米已发出全员级别的通告。人工智能部 AI 实验室一名实习生私自将公司内网端口映射到公网,导致不法分子入侵公司服务器,违反《小米集团员工行为准则》和《员工信息安全规范》有关规定,解除其实习协议,并将相关涉案人员移送司法处理。


    有些许疑问,实习生有这么大权限么?会不会是哪个大佬把锅给实习生
    181 条回复    2021-12-03 16:30:13 +08:00
    1  2  
    wtks1
        1
    wtks1  
       2020-11-17 14:39:57 +08:00 via Android   ❤️ 3
    是不是在内网用 frp 之类的内网穿透工具把端口映射到他自己的服务器了?记得之前有这样的案例
    ghostsf
        2
    ghostsf  
       2020-11-17 14:44:45 +08:00
    内网穿透的吧- -
    taobibi
        3
    taobibi  
       2020-11-17 14:44:54 +08:00
    还有一种可能是他买了个向日葵或者蒲公英的盒子
    vone
        4
    vone  
       2020-11-17 14:45:22 +08:00   ❤️ 1
    映射的 RDP 端口吧。
    wudidangteng
        5
    wudidangteng  
    OP
       2020-11-17 14:45:40 +08:00
    看来内网穿透的可能性很大 - - 。估计他自己都不知道会这么严重吧
    kiracyan
        6
    kiracyan  
       2020-11-17 14:47:38 +08:00   ❤️ 1
    公司内网自己乱搞就是作死
    CODEWEA
        7
    CODEWEA  
       2020-11-17 14:48:11 +08:00   ❤️ 1
    不冤
    imn1
        8
    imn1  
       2020-11-17 14:48:50 +08:00
    移送司法处理
    想知道这算渎职还是其他什么?
    CallMeReznov
        9
    CallMeReznov  
       2020-11-17 14:49:46 +08:00   ❤️ 4
    偷偷做映射图方便的多了去了,讲白了还是自己安全意识低,知道外网访问危险性高映射出去就得加强密码还有服务安全性。
    这映射出去就被人干一般问题都在于自己。
    luckyrayyy
        10
    luckyrayyy  
       2020-11-17 14:50:38 +08:00
    我也差点有这个想法....frp 穿透出去,担心作死就没敢行动
    guixiexiezou
        11
    guixiexiezou  
       2020-11-17 14:55:29 +08:00
    猜测 1: 公司没有禁止外网访问,没有做特别明显的内外网区分
    猜测 2:该实习生使用了内网穿透工具,例如 frp, 或者使用了类 VPN 软件,例如 V2ray,并极大可能开启远程桌面功能。

    感觉很奇怪,不做完整的内外网隔离的话,就算不主动开端口,也会被其他人入侵到吧
    Cielsky
        12
    Cielsky  
       2020-11-17 15:00:09 +08:00 via Android   ❤️ 2
    安全意识太低了吧。
    偶尔也能在这里看到有人问如何绕过公司的各种限制,都是在给自己挖坑
    opengps
        13
    opengps  
       2020-11-17 15:03:40 +08:00
    这种滥用行为其实很常见
    mrzx
        14
    mrzx  
       2020-11-17 15:04:55 +08:00   ❤️ 4
    frp 吧,或者向日葵之类的。不需要权限

    我们公司,我就抓到几个。。。
    反正有胆你就用,你既然用了,就要把服务器安全做好,只要不出事,那不会找你麻烦。
    但是,你非要图方便,服务器安全你又自己没做好,又被人黑了,影响公司,那你就准备被开除吧。

    反正我已经发通告给全公司员工,警告过了~
    我的原则很简单,我不让你们用,如果在有人偷偷用,出了事,铁定你背锅就行。。。
    comsweetcs
        15
    comsweetcs  
       2020-11-17 15:05:19 +08:00
    啧啧啧
    Xillusion
        16
    Xillusion  
       2020-11-17 15:05:23 +08:00   ❤️ 32
    我见过最狠的,拿公司科学上网线路开内网穿透给家里用。
    wudidangteng
        17
    wudidangteng  
    OP
       2020-11-17 15:12:26 +08:00
    @Xillusion 这就离谱
    StrorageBox
        18
    StrorageBox  
       2020-11-17 15:16:11 +08:00
    不冤,我厂也一样
    37Y37
        19
    37Y37  
       2020-11-17 15:26:17 +08:00
    这个不冤
    NoirStrike
        20
    NoirStrike  
       2020-11-17 15:28:00 +08:00
    龟龟...直接映射服务器, 都这么凶的吗...
    映射下自己用的电脑, 再远程下, 不也挺好的嘛
    boris93
        21
    boris93  
       2020-11-17 15:41:26 +08:00 via Android   ❤️ 2
    @NoirStrike #20 公司内网甭管啥机器,私自映射出去就是安全问题
    外网连入公司网络的唯一解就是通过公司的 VPN
    zhygme
        22
    zhygme  
       2020-11-17 15:43:18 +08:00
    @mrzx 吓死我了 我之前为了管理方便 也把自己电脑映射出去了 不过已经取消了 哈哈
    HFX3389
        23
    HFX3389  
       2020-11-17 15:49:46 +08:00
    那么问题来了,FRP 映射 RDP 端口要做什么安全防护?
    Smash
        24
    Smash  
       2020-11-17 15:52:14 +08:00
    入职培训一般会有安全这块的讲解,红线是不能碰的。
    AlynxZhou
        25
    AlynxZhou  
       2020-11-17 15:53:14 +08:00   ❤️ 11
    当代迷惑:用 frp 连内网服务器,用 vpn 番茄(
    zhanao1994
        26
    zhanao1994  
       2020-11-17 15:54:43 +08:00 via Android
    经常看到在公司玩内网穿透的,活该开除
    xuanbg
        27
    xuanbg  
       2020-11-17 15:57:07 +08:00
    访问公司内网 VPN 不香吗?公司没有 VPN 吗?
    HFX3389
        28
    HFX3389  
       2020-11-17 15:59:40 +08:00
    @xuanbg #27 有的公司还真没 VPN
    ihipop
        29
    ihipop  
       2020-11-17 16:04:57 +08:00 via Android
    @mrzx 怎么检测 frp
    mrzx
        30
    mrzx  
       2020-11-17 16:11:23 +08:00   ❤️ 2
    @ihipop 很简单啊,frp 应用层识别啊。。。。我们有专业的设备和系统,所有公司流量都要从这些设备通过。甚至公司谁经常访问猎聘,51job,通过拆开 7 层报文,分析 url 就可以生成一个报表,谁最近访问这些网站数量和次数最多。。。
    fangcan
        31
    fangcan  
       2020-11-17 16:16:28 +08:00
    @guixiexiezou 请教下 本地开启了 v2ray 客户端,也属于内网穿透么?
    lewis89
        32
    lewis89  
       2020-11-17 16:16:54 +08:00
    @HFX3389 #28 我 openvpn 提心吊胆,生怕被人攻击..
    lewis89
        33
    lewis89  
       2020-11-17 16:18:11 +08:00
    @mrzx #30 装了证书吧,装证书的电脑 真鸡巴恶心,对公司是完全透明的,我从来不在这种电脑上干自己的事情。
    lewis89
        34
    lewis89  
       2020-11-17 16:18:32 +08:00
    @fangcan #31 不算
    mrzx
        35
    mrzx  
       2020-11-17 16:21:02 +08:00
    @lewis89 2014 年左右,我在苏宁干过一段时间,整个苏宁访问外网必须通过代理。。。。那些运维每天的乐趣是在代理的日志里做数据挖掘找乐子。。。。
    lewis89
        36
    lewis89  
       2020-11-17 16:21:51 +08:00
    @fangcan #31 内网穿透是把内网的访问权限 暴露到其它网络了,这种才叫内网穿透,一般是 C 类地址的访问权限被人放到公网上 或者其它 C 网 可以通过路由 访问你的 C 网
    vfxx
        37
    vfxx  
       2020-11-17 16:22:08 +08:00
    那位大佬可以分享下 《小米集团员工行为准则》和《员工信息安全规范》,我也想学习下,参考类似规定在自己公司发布。(网上没搜到) 我身边已经不少于 3 个朋友用 FRP 被黑了,损失惨重。
    Fizzyi
        38
    Fizzyi  
       2020-11-17 16:23:50 +08:00
    请教一下各位,如何在保证安全的情况下 能够在家里链接到公司的电脑呢
    wanguorui123
        39
    wanguorui123  
       2020-11-17 16:28:08 +08:00
    防火墙 + 防火墙证书 = 网络行为监控
    lewis89
        40
    lewis89  
       2020-11-17 16:29:04 +08:00
    @mrzx #35 我习惯自己架 openvpn 了,加密出去 谁也看不到我在干嘛.. 除非他能拿到我的私钥
    onice
        41
    onice  
       2020-11-17 16:29:04 +08:00
    这波不怨。按照信息安全相关条例,该咋处理就咋处理。
    lewis89
        42
    lewis89  
       2020-11-17 16:30:30 +08:00
    @vfxx #37 可能他们没搞清楚 frp 的真正用途,这玩意本来就不是给你们用来做映射暴露重要未鉴权的服务用的,我用 frp 的唯一目的是为了让 openvpn 能用公网访问,不过 openvpn 的性能确实捉急
    dbpe
        43
    dbpe  
       2020-11-17 16:35:39 +08:00
    问题来了..我用 frp 做点对点映射 maven 和 git,如何优雅的安全的映射


    (不想半夜起来去公司改 bug
    Macv1994
        44
    Macv1994  
       2020-11-17 16:38:59 +08:00
    我使用公司电脑使用 SSH SFTP 连接自己的服务器没问题吧?
    Daybyedream
        45
    Daybyedream  
       2020-11-17 16:53:05 +08:00
    挂 VPN 不香么
    guixiexiezou
        46
    guixiexiezou  
       2020-11-17 16:53:33 +08:00
    @fangcan 不算,但属于类 VPN 了,同样存在和 frp 一样的问题
    fanfpy
        47
    fanfpy  
       2020-11-17 17:03:20 +08:00
    吓得我立马把 zerotier 卸载了
    shareSK
        48
    shareSK  
       2020-11-17 17:05:02 +08:00
    @lewis89 应该是深信服之类的网关。谁没事装证书啊
    Sapp
        49
    Sapp  
       2020-11-17 17:06:01 +08:00
    小米不提供 vpn 的吗?
    felixin
        50
    felixin  
       2020-11-17 17:07:28 +08:00 via Android
    frp 怎么才能安全呢
    nznd
        51
    nznd  
       2020-11-17 17:07:46 +08:00
    提问 把家里的电脑远程桌面映射出去 公司网络 rdp 连回来 有危险吗
    lewis89
        52
    lewis89  
       2020-11-17 17:13:27 +08:00
    @shareSK #48 没证书 tls 加密就解密不了..
    Varobjs
        53
    Varobjs  
       2020-11-17 17:20:28 +08:00
    不会玩内网穿透也是好事,😄
    想绕过公司网限制,那就手机热点
    mebtte
        54
    mebtte  
       2020-11-17 17:25:57 +08:00
    那么问题来了, 使用 frp 怎么保证安全呢?
    sleeperqp
        55
    sleeperqp  
       2020-11-17 17:28:14 +08:00
    @Sapp 有 vpn 的
    annielong
        56
    annielong  
       2020-11-17 17:29:52 +08:00
    正确的方法是登 vpn,然后登远程
    nannanziyu
        57
    nannanziyu  
       2020-11-17 18:09:11 +08:00 via Android
    @guixiexiezou
    @fangcan
    看你怎么用了,v2ray 也有 dokodemo-door 协议来实现反代内网端口
    frp 现在任何一个网关防火墙都能直接识别,v2ray 的藏在 vmess / vless 后面,识别不到
    bk201
        58
    bk201  
       2020-11-17 18:33:33 +08:00
    搞 ai 的一般是搞算法的,貌似对这种事情不太了解
    tuding
        59
    tuding  
       2020-11-17 18:39:50 +08:00 via Android
    好奇问一下,这个事情运维有锅吗?
    HFX3389
        60
    HFX3389  
       2020-11-17 18:49:52 +08:00
    @tuding #59 应该没有或者应该在内网有人开穿透的时候及时发出警告
    kassadin
        61
    kassadin  
       2020-11-17 18:52:03 +08:00
    曾经用 frp 暴露了一个 jenkins 也被挖矿了,不做服务器确实安全意识不够
    redtea
        62
    redtea  
       2020-11-17 18:58:30 +08:00 via iPhone
    不知道用 ngrok 算不算?
    mxalbert1996
        63
    mxalbert1996  
       2020-11-17 18:59:27 +08:00 via Android
    所以说我一直在推荐这个
    https://github.com/slackhq/nebula
    mangoDB
        64
    mangoDB  
       2020-11-17 19:00:27 +08:00
    大概率用了 frp
    Bootis
        65
    Bootis  
       2020-11-17 19:08:20 +08:00
    frp 暴露 v2ray 端口,再通过 v2ray 连接应该会安全得多吧
    dropsio
        66
    dropsio  
       2020-11-17 19:08:50 +08:00
    干前端的我,懵逼中带着些许心虚....
    s609926202
        67
    s609926202  
       2020-11-17 19:10:24 +08:00 via iPhone
    内网穿透?我做过一种是路由器端口映射,到电脑上,不知道安全不安全
    glfpes
        68
    glfpes  
       2020-11-17 19:20:58 +08:00
    实习生刚刚踏入职场,没有职业意识很正常。把公司当自己实验室了瞎折腾。

    小米肯定入职培训时讲过这种事不要做,类似的包括代码别传 github 等等。

    如果被扫描器发现内网穿透最多就是通知一下,现在这个阵势肯定是这个口子被人用来破坏了。
    f165af34d4830eeb
        69
    f165af34d4830eeb  
       2020-11-17 19:34:53 +08:00
    V2 月经贴:我偷偷搭的 frp 被人橄榄了,导致公司损失,我该怎么办?

    这就不是技术问题。
    TesterCC
        70
    TesterCC  
       2020-11-17 19:37:40 +08:00
    "私自将公司内网端口映射到公网"看起来只是违规操作,但是具体映射原因没有说明,不好评论。导致“不法分子入侵公司服务器”,这个就严重了,虽然说直到被不法分子入侵后才发现这件事说明内网监管方面也有不足,但要给上面交代的话,肯定溯源到这个实习生,然后相关负责人大概也有不同程度的处理措施吧。
    hand515
        71
    hand515  
       2020-11-17 19:38:17 +08:00 via Android
    用 stcp 就可以了吧
    mostkia
        72
    mostkia  
       2020-11-17 19:45:12 +08:00
    出门在外就得规矩一些,最忌讳的就是什么都不知道就乱搞,公司内网不是自己家庭院,出问题就不是小事情。不管是不是你导致的,你用了这类软件,屎盆子都可以扣你头上,而且有于你一知半解的用了这种软件,解释都解释不清。
    justin2018
        73
    justin2018  
       2020-11-17 19:48:17 +08:00
    @mrzx 啥设备 深信服?
    mostkia
        74
    mostkia  
       2020-11-17 19:49:00 +08:00
    @HFX3389 一般来讲一个强密码就能搞定了,被搞的往往连这点最基础的安全意识都没,否则也不会在公司内网作死,可能密码还都只是 123456 这类的
    younghust
        75
    younghust  
       2020-11-17 20:06:36 +08:00
    不会玩不要在公司玩,损失很大的
    dbpe
        76
    dbpe  
       2020-11-17 20:20:35 +08:00
    @mxalbert1996 大佬安利一波?粗看了下..好像是用 TLS 来做协议传输的
    GrayXu
        77
    GrayXu  
       2020-11-17 20:25:02 +08:00
    实习时候公司的训练机器直接在路由上 ban 了所有外网请求,然后有需求都走内网镜像。。。
    要是搞了生产的机器,那直接就有经济损失了,真敢…
    Tumblr
        78
    Tumblr  
       2020-11-17 20:25:59 +08:00
    @Xillusion #14 见笑了 🤷🏻
    Caan07
        79
    Caan07  
       2020-11-17 20:26:23 +08:00
    @shareSK #48 深信服我记得似乎有 VPN 模块,似乎还要审计和授权。。。。。。
    Thexz
        80
    Thexz  
       2020-11-17 20:48:04 +08:00
    @xuanbg 使用公司 VPN 也是需要申请的吧,没有正当理由,恐怕申请困难。我公司是这样的。
    infun
        81
    infun  
       2020-11-17 20:51:15 +08:00
    刚工作那会干过这事,第二天想起来立马关了
    nmecury
        82
    nmecury  
       2020-11-17 20:54:46 +08:00
    这种应该是想在家里上公司的 GPU 机器跑实验吧……还有我理解移送公安机关的涉案人员应该是指入侵者
    benmaowang
        83
    benmaowang  
       2020-11-17 21:31:36 +08:00
    frp 内网点对点,不暴露端口到公网应该是安全的吧
    bclerdx
        84
    bclerdx  
       2020-11-17 21:32:22 +08:00
    @mrzx 那么你自己用?
    bclerdx
        85
    bclerdx  
       2020-11-17 21:33:29 +08:00
    @boris93 不如某信服的 SSL VPN 。
    Liyiw
        86
    Liyiw  
       2020-11-17 21:37:25 +08:00
    这。。。在学校实验室的机器上开 frp 会不会被学校干。。有点慌
    xuanbg
        87
    xuanbg  
       2020-11-17 21:45:27 +08:00
    @Thexz 没有正当理由远程进公司内网做什么呢?有正当理由怎么会申请不到呢?
    Ekid
        88
    Ekid  
       2020-11-17 21:46:05 +08:00
    为啥不用堡垒机.我们单位因为业务问题经常需要第三方供应商的技术人员支持,都是用堡垒机远程进来的,需要远程办公的话我自己也从堡垒机进来
    eastern
        89
    eastern  
       2020-11-17 21:56:51 +08:00
    之前不是有帖子也是用 frp 反代出去然后被勒索了吗。
    hzzz0823
        90
    hzzz0823  
       2020-11-17 22:00:30 +08:00 via Android
    如果我只开 ssh 的公钥访问,是不是就一定安全了
    pydiff
        91
    pydiff  
       2020-11-17 22:02:41 +08:00
    感觉你们都好专业,不过我自己的经历是随便开映射,都是用强密码,三年多了,啥事都没有,为啥他们的就那么容易被黑呢
    myd
        92
    myd  
       2020-11-17 22:04:19 +08:00
    内网穿透很危险
    billlee
        93
    billlee  
       2020-11-17 22:11:34 +08:00
    @hzzz0823 #90 openssh 也会有漏洞
    huigeer
        94
    huigeer  
       2020-11-17 22:25:01 +08:00 via iPhone
    用向日葵属于违规嘛
    wslzy007
        95
    wslzy007  
       2020-11-17 22:38:09 +08:00   ❤️ 3
    这事嘛,和设置的密码强度无关,系统漏洞,软件漏洞等都是直接秒的!
    不要将内网映射到外网端口!
    不要将内网映射到外网端口!
    不要将内网映射到外网端口!
    zmxnv123
        96
    zmxnv123  
       2020-11-17 22:39:31 +08:00
    想当年我实习生涯也无知的这么干过,只能谢当年黑客不杀之恩。
    mxalbert1996
        97
    mxalbert1996  
       2020-11-17 22:44:59 +08:00 via Android
    @dbpe 这个无论是性能还是安全性都完爆 frp 之流。性能方面,frp 完全就是端口转发,速度受限于服务器,而 Nebula 只有最初建立连接时要通过服务器中转,连接建立了以后通过 UDP 打洞直接通信。安全方面,基于证书,比密码安全得多。
    wtks1
        98
    wtks1  
       2020-11-17 22:46:53 +08:00 via Android
    @mxalbert1996 frp 也有点对点模式的....
    cjq8z
        99
    cjq8z  
       2020-11-17 22:52:33 +08:00 via Android
    @pydiff 被黑有时并不是密码问题而是漏洞被利用了。
    cjq8z
        100
    cjq8z  
       2020-11-17 23:00:58 +08:00 via Android
    公司电脑就当成公司电脑使用,一律不处理个人私人事物。拿来处理个人私人事物就是职场小白。
    拿公司电脑搞自己私人事情,最大的风险是泄密,不出事还好,出事就是你背锅了。
    按公司流程走,出事了还有领导背锅、相关不同部门背锅,大家都有责任,一般就是大事化小,小事化无。
    不按公司流程走,出了问题,你就背锅了。
    1  2  
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3000 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 10:54 · PVG 18:54 · LAX 03:54 · JFK 06:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.