如题,今天突然想到的问题,有没有朋友比较了解的讲一下。 比如我有一个网页服务架在本地 8080,用 frp 暴露本地 8080 端口,映射到服务器的 80 端口,那么如果在此之上进行了 SSL 的配置的话网页服务本身应该是安全的,即使被监听也无危险。
但是 frp 传输的部分是否是安全的呢?虽然 frp 设置中似乎可以设置口令,但是整个通信是包含在合理的加密协议中的吗?如果不是的话,是否有可能导致我的端口被攻击?(比如攻击者伪装自己是 frp 服务端,发送伪造的请求客户端数据,是否有可能导致执行代码段的安全漏洞?)
1
cnnblike 2020-06-01 04:43:32 +08:00 via Android
frp 可以转发 tcp 流量的,转发 local 的 https 就行
|
2
different 2020-06-01 06:04:15 +08:00
假设是明文,这不就简化成为了你使用的应用层协议是否是安全的了吗?
|
3
attker 2020-06-01 07:11:35 +08:00 via iPhone 1
frpc 可以设置 use_encryption 选项,保
使 frpc 与 frps 之前的加密传输 |
4
teawithlife 2020-06-01 07:47:44 +08:00
一般来说是安全的,从两个方面:
1. 既然你是用来内网穿透,说明你的网络本身就不能被外部访问,所以外部并没法直接攻击你的 8080 端口 2. frpc 是主动去连接服务器的,并不是监听本地端口(甚至 frps 都不知道你本地到底连接了什么端口),你本地的 web 服务甚至可以监听 127.0.0.1:8080(如果 frpc 运行在同一主机的话) 至于你说的伪装服务器,你看 frpc.ini 里面,你的服务器 IP 是写死的,这个要伪装的话,难度就有点大了 frp 可能存在的风险点在于加密被破解,然后中间人攻击,但是这个成本太高了 |
5
lightwell 2020-06-01 09:19:05 +08:00 via Android
一定要讲安全的话,现在公认的就是 TLS 和 IPSEC,其他自己搞的协议多多少少都有漏洞。
|
6
jiangyang123 2020-06-01 11:25:53 +08:00
会暴露自己的家庭宽带 ip 地址吗
|
7
black11black OP @teawithlife 嗯,我的意思就是是否有中间人攻击的隐患。比如我们自建网站服务的时候我几乎可以确保 client 不会拿到假的证书,那么我可以理论上确保我的一切通信完全加密,就很舒服。如果 frp 是只有 nat 程度的安全防范的话就感觉不太舒服
|
8
mm2x 2020-06-02 07:53:53 +08:00
Frp 可以使用 TLS 加密啊。为啥要明文传输
Frpc 配置上这个参数 用了这个要把 use_encryption 参数关闭 只能用一种加密 #TLS 加密传输(与二次加密只能启用一个) tls_enable = true |
9
cdh1075 2020-06-03 12:24:11 +08:00
关于明文传输:没有任何安全问题,出入 8080 端口的任何流量都是 https 加密的,不建议在 frp 上配置加密,因为会导致加密了两次,影响性能
关于中间人攻击:防止中间人攻击是身份验证算法的基本功,frp 这方面没啥大问题,就算 frp 出问题,里面还有一层 https,怕啥? |