Page 4 of 5 FirstFirst ... 2345 LastLast
Results 46 to 60 of 75

Thread: Настройка brute force protection на роутере

  1. #46

    Как защитить веб-интерфейс от брутфорса

    Можно ли как нибудь защитить 8080 порт роутера от перебора (он у меня проброшен в инет)? А то китайцы со своими сканерами достали.
    Подскажите, пожалуйста, что крутить.

  2. #47
    Join Date
    Mar 2011
    Location
    Moscow
    Posts
    248
    Quote Originally Posted by TapakaH View Post
    Можно ли как нибудь защитить 8080 порт роутера от перебора (он у меня проброшен в инет)?
    Я бы посоветовал закрыть доступ из инета к 8080 и заходить на него через ssh-туннель. Потому что ssh гораздо проще защитить от брутфорса, чем http.
    Лично я такой схемой уже несколько лет пользуюсь.

  3. #48
    Quote Originally Posted by don-pedro View Post
    Я бы посоветовал закрыть доступ из инета к 8080 и заходить на него через ssh-туннель. Потому что ssh гораздо проще защитить от брутфорса, чем http.
    Лично я такой схемой уже несколько лет пользуюсь.
    Примерно так я и сделал. Отключил веб-доступ и организовал VPN внутрь домашней сетки, теперь работаю через него.

  4. #49

    А ест ли на роутере защита от сканирования портов?

    Всем привет. Я не спец в сетевой безопасности, поэтому и спрашиваю. Можно ли силами роутера как-то защититься? У меня дома сетка из нескольких компов, на одном из них пид-сы зашифровали файлы. Лечению не поддаётся. Пришлось отдать 2500р. Вот так. Зашли по RDP подозреваю(смотрит во внешку, ну очень нужно... IP динамический у клиента). Теперь сижу изучаю сетевую безопасность и хотелось бы знать, на что вообще способен роутер, как его можно настроить для максимальной безопасной работы в инете. Вопрос только по роутеру, что касается самих компов-изучаю, настраиваю, потом ещё спеца приглашу для аудита.
    Роутер wl500gpv2. Прошивка 1.9.2.7-rtn-r3497
    Last edited by pollitra; 16-06-2012 at 16:18.

  5. #50
    Quote Originally Posted by pollitra View Post
    Всем привет. Я не спец в сетевой безопасности, поэтому и спрашиваю. Можно ли силами роутера как-то защититься? У меня дома сетка из нескольких компов, на одном из них пид-сы зашифровали файлы. Лечению не поддаётся. Пришлось отдать 2500р. Вот так. Зашли по RDP подозреваю(смотрит во внешку, ну очень нужно... IP динамический у клиента). Теперь сижу изучаю сетевую безопасность и хотелось бы знать, на что вообще способен роутер, как его можно настроить для максимальной безопасной работы в инете. Вопрос только по роутеру, что касается самих компов-изучаю, настраиваю, потом ещё спеца приглашу для аудита.
    Роутер wl500gpv2. Прошивка 1.9.2.7-rtn-r3497
    Если хотите обезопаситься нужно ЗАКРЫТЬ все порты наружу, давать доступ только из-под OpenVPN например.

    Т.е. поднять OpenVPN на роутере в качестве сервера, подсоединяться через него и далее уже пользоваться внутренними ресурсами.

    Также можно давать доступ только определенным IP на определенный порт. Что значит "зашифровали файлы"?

  6. #51
    зашифровали прогой, кстати легальной, мать её разэдак, lockdir.exe Пароль 29 символов прислали. За наводку на OpenVPN спасибо. Определённым IP не получится, клиент (домашний комп) на динамическом IP. Может можно маску задавать, типа 226.***.***.***? Провайдер то один, ну 2, если в будущем планшет с 3G возьму.
    Last edited by pollitra; 16-06-2012 at 17:00.

  7. #52
    Quote Originally Posted by pollitra View Post
    зашифровали прогой, кстати легальной, мать её разэдак, lockdir.exe Пароль 29 символов прислали. За наводку на OpenVPN спасибо. Определённым IP не получится,
    клиент (домашний комп) на динамическом IP. Может можно маску задавать, типа 226.***.***.***? Провайдер то один, ну 2, если в будущем планшет с 3G возьму.
    тогда только VPN, еще можно использовать fwknop, чтобы открывать нужный порт для нужного IP-адреса тоже по ключу.
    а я бы не стал SSH открытым оставлять наружу, да и вообще лучше использовать fwknop
    Last edited by Omega; 17-06-2012 at 13:43. Reason: 2 posts merged

  8. #53
    Join Date
    Oct 2009
    Posts
    529
    Blog Entries
    1
    Quote Originally Posted by pollitra View Post
    Зашли по RDP подозреваю(смотрит во внешку, ну очень нужно...
    Такое возможно, но подозрение ничем не подкрепленное. Поймать dirlock можно множеством банальных способов, с роутером никак не связанных (фишинговые письма, уязвимые браузеры и т.п.)
    Quote Originally Posted by pollitra View Post
    хотелось бы знать, на что вообще способен роутер, как его можно настроить для максимальной безопасной работы в инете.
    Роутер способен на многое в этом плане, как любой шлюз с iptables на борту. И вариантов настройки - много. Например, можно настроить защиту от брутфорса именно для порта, который используется для работы с RDP.
    Самое простое, что можно сделать: отказаться от прямого проброса портов в пользу перенаправления портов через SSH.
    Аргументы в пользу такого решения:
    1. SSH сервер уже есть в прошивке и включается из веб-интерфейса
    2. для него там же предусмотрена защита от брутфорса и она работает
    3. получить доступ извне легче, чем по VPN (софт не требует админских прав и поднятия сетевого интерфейса)

    Почитать детальней можно тут и тут
    От себя добавлю, что именно для задачи доступа к RDP через SSH удобна программа Tunnelier, там такой сценарий предусмотрен в интерфейсе. Она бесплатна для некоммерческого использования и имеет портативную версию.
    Quote Originally Posted by staticroute View Post
    тогда только VPN
    Мы в курсе, что вы любите (Open)VPN искренне и преданно, но это еще не повод для подобных категоричных высказываний.
    Quote Originally Posted by pollitra View Post
    потом ещё спеца приглашу для аудита
    Понт засчитан, но может тогда с этого и начать?

  9. #54
    Quote Originally Posted by staticroute View Post
    а я бы не стал SSH открытым оставлять наружу, да и вообще лучше использовать fwknop
    Ну ssh достаточно защищен, и на высоком нестандартном порту (например 12637) если еще и прикрыт от перебора и пароль нормальный, то 99% атак из инета будут побоку (1% оставил на профессиональный, заказанный взлом именно этого узла, но это уже из совсем другой сказки)
    tempik aka Mirage-net

  10. #55
    Quote Originally Posted by tempik View Post
    Ну ssh достаточно защищен, и на высоком нестандартном порту (например 12637) если еще и прикрыт от перебора и пароль нормальный, то 99% атак из инета будут побоку (1% оставил на профессиональный, заказанный взлом именно этого узла, но это уже из совсем другой сказки)
    пароль вообще не надо юзать, только по ключу заходить.

  11. #56
    Quote Originally Posted by staticroute View Post
    пароль вообще не надо юзать, только по ключу заходить.
    Все от задач зависит ... Безопасность (любая в т.ч. сетевая) всегда подразумевает выбор между степенью опасности и удобством использования ... Для сетевой безопасности абсолютной удобностью будет "всем можно все", абсолютной степенью защиты "выключенный от электропитания узел сети". Для хранения денег удобен ящик стола, но самый надежный сейф это "цельный куб легированной стали с толщиной стен в километр".
    Вот и приходиться ВСЕГДА выбирать соотношение "удобство/надежность" исходя из условий КОНКРЕТНОЙ задачи и последствий "удобства", универсальных советов и решений нет.
    tempik aka Mirage-net

  12. #57
    Quote Originally Posted by tempik View Post
    Все от задач зависит ... Безопасность (любая в т.ч. сетевая) всегда подразумевает выбор между степенью опасности и удобством использования ... Для сетевой безопасности абсолютной удобностью будет "всем можно все", абсолютной степенью защиты "выключенный от электропитания узел сети". Для хранения денег удобен ящик стола, но самый надежный сейф это "цельный куб легированной стали с толщиной стен в километр".
    Вот и приходиться ВСЕГДА выбирать соотношение "удобство/надежность" исходя из условий КОНКРЕТНОЙ задачи и последствий "удобства", универсальных советов и решений нет.
    А вот и не правда. Безопасность заключается в том, чтобы создать условия, при которых взломщику будет невыгодно заниматься проникновением (т.е. время на тот самый взлом будет гораздо больше и ценнее результата).

    Используя пароли вместо ключей и не закрывая от внешки SSH-порт вы ослабляете защиту.

    Насчет хранения денег вообще пример некорректный. Насчет конкретной задачи согласен, тем более если хранится совершенно бесценная информация, можно вообще оставить admin/admin дефолтный.

  13. #58
    Join Date
    Jan 2011
    Location
    Нижний Новгород
    Posts
    543
    До тех пор, пока на стороне клиента сидит "макака с кувалдой", ни о каких настройках безопасности шлюза не может быть и речи.
    DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163

  14. #59
    Quote Originally Posted by staticroute View Post
    А вот и не правда. Безопасность заключается в том, чтобы создать условия, при которых взломщику будет невыгодно заниматься проникновением (т.е. время на тот самый взлом будет гораздо больше и ценнее результата).
    Это правило я тоже знаю, но если эти условия станут невыгодны и вам? Мое определение более объемно и не противоречит/отменяет Ваше.
    Quote Originally Posted by staticroute View Post
    Используя пароли вместо ключей и не закрывая от внешки SSH-порт вы ослабляете защиту.
    Согласен ослабляю, но при использовании нестандартного высокого порта, защиты его от брутфорса и нормального пароля хотя-бы 8 символов, ОЧЕНЬ незначительно.
    Quote Originally Posted by staticroute View Post
    Насчет хранения денег вообще пример некорректный.
    Почему? Хранить очень надежно, использовать "неудобно" (как раз то, что не учитывает ваше определение).
    Quote Originally Posted by staticroute View Post
    Насчет конкретной задачи согласен, тем более если хранится совершенно бесценная информация, можно вообще оставить admin/admin дефолтный.
    Сомниваюсь что правильно понимаю эту фразу ...
    tempik aka Mirage-net

  15. #60
    Quote Originally Posted by tempik View Post
    Это правило я тоже знаю, но если эти условия станут невыгодны и вам? Мое определение более объемно и не противоречит/отменяет Ваше.

    Согласен ослабляю, но при использовании нестандартного высокого порта, защиты его от брутфорса и нормального пароля хотя-бы 8 символов, ОЧЕНЬ незначительно.

    Почему? Хранить очень надежно, использовать "неудобно" (как раз то, что не учитывает ваше определение).

    Сомниваюсь что правильно понимаю эту фразу ...
    Высокий порт никак вам не поможет, если вы не блочите попытки сканирования портов.

    Ну можно долго дискутировать.

    Собственно в контексте данной темы, мне кажется, если хотите защититься более-менее и таки необходим внешний доступ, то стоит сделать OpenVPN туннель с роутером. Поставить пароль на клиентский кей и ходить по ключу это уже по желанию.

    В этом случае, даже если кто-то получит ключ впн, он не получит доступа к SSH. В случае SSH-форвардинга, это более вероятно.

Page 4 of 5 FirstFirst ... 2345 LastLast

Similar Threads

  1. Установка и настройка asterisk на роутере
    By ptabashov in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 247
    Last Post: 04-11-2021, 09:59
  2. Настройка CRON на роутере
    By dccharacter in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 338
    Last Post: 04-11-2014, 21:25
  3. Настройка mpcs на роутере
    By poptab in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 1059
    Last Post: 17-07-2012, 07:22
  4. [HowTo] avoid brute force in AP mode
    By newbiefan in forum WL-500gP Tutorials
    Replies: 8
    Last Post: 17-06-2010, 20:58
  5. VSFTP Brute force attacks
    By sarlacc in forum WL-500g Q&A
    Replies: 2
    Last Post: 28-08-2007, 20:56

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •