Можно ли как нибудь защитить 8080 порт роутера от перебора (он у меня проброшен в инет)? А то китайцы со своими сканерами достали.
Подскажите, пожалуйста, что крутить.
Всем привет. Я не спец в сетевой безопасности, поэтому и спрашиваю. Можно ли силами роутера как-то защититься? У меня дома сетка из нескольких компов, на одном из них пид-сы зашифровали файлы. Лечению не поддаётся. Пришлось отдать 2500р. Вот так. Зашли по RDP подозреваю(смотрит во внешку, ну очень нужно... IP динамический у клиента). Теперь сижу изучаю сетевую безопасность и хотелось бы знать, на что вообще способен роутер, как его можно настроить для максимальной безопасной работы в инете. Вопрос только по роутеру, что касается самих компов-изучаю, настраиваю, потом ещё спеца приглашу для аудита.
Роутер wl500gpv2. Прошивка 1.9.2.7-rtn-r3497
Last edited by pollitra; 16-06-2012 at 16:18.
Если хотите обезопаситься нужно ЗАКРЫТЬ все порты наружу, давать доступ только из-под OpenVPN например.
Т.е. поднять OpenVPN на роутере в качестве сервера, подсоединяться через него и далее уже пользоваться внутренними ресурсами.
Также можно давать доступ только определенным IP на определенный порт. Что значит "зашифровали файлы"?
зашифровали прогой, кстати легальной, мать её разэдак, lockdir.exe Пароль 29 символов прислали. За наводку на OpenVPN спасибо. Определённым IP не получится, клиент (домашний комп) на динамическом IP. Может можно маску задавать, типа 226.***.***.***? Провайдер то один, ну 2, если в будущем планшет с 3G возьму.
Last edited by pollitra; 16-06-2012 at 17:00.
тогда только VPN, еще можно использовать fwknop, чтобы открывать нужный порт для нужного IP-адреса тоже по ключу.
а я бы не стал SSH открытым оставлять наружу, да и вообще лучше использовать fwknop
Last edited by Omega; 17-06-2012 at 13:43. Reason: 2 posts merged
Такое возможно, но подозрение ничем не подкрепленное. Поймать dirlock можно множеством банальных способов, с роутером никак не связанных (фишинговые письма, уязвимые браузеры и т.п.)
Роутер способен на многое в этом плане, как любой шлюз с iptables на борту. И вариантов настройки - много. Например, можно настроить защиту от брутфорса именно для порта, который используется для работы с RDP.
Самое простое, что можно сделать: отказаться от прямого проброса портов в пользу перенаправления портов через SSH.
Аргументы в пользу такого решения:
- SSH сервер уже есть в прошивке и включается из веб-интерфейса
- для него там же предусмотрена защита от брутфорса и она работает
- получить доступ извне легче, чем по VPN (софт не требует админских прав и поднятия сетевого интерфейса)
Почитать детальней можно тут и тут
От себя добавлю, что именно для задачи доступа к RDP через SSH удобна программа Tunnelier, там такой сценарий предусмотрен в интерфейсе. Она бесплатна для некоммерческого использования и имеет портативную версию.
Мы в курсе, что вы любите (Open)VPN искренне и преданно, но это еще не повод для подобных категоричных высказываний.
Понт засчитан, но может тогда с этого и начать?
Ну ssh достаточно защищен, и на высоком нестандартном порту (например 12637) если еще и прикрыт от перебора и пароль нормальный, то 99% атак из инета будут побоку (1% оставил на профессиональный, заказанный взлом именно этого узла, но это уже из совсем другой сказки)
tempik aka Mirage-net
Все от задач зависит ... Безопасность (любая в т.ч. сетевая) всегда подразумевает выбор между степенью опасности и удобством использования ... Для сетевой безопасности абсолютной удобностью будет "всем можно все", абсолютной степенью защиты "выключенный от электропитания узел сети". Для хранения денег удобен ящик стола, но самый надежный сейф это "цельный куб легированной стали с толщиной стен в километр".
Вот и приходиться ВСЕГДА выбирать соотношение "удобство/надежность" исходя из условий КОНКРЕТНОЙ задачи и последствий "удобства", универсальных советов и решений нет.
tempik aka Mirage-net
А вот и не правда. Безопасность заключается в том, чтобы создать условия, при которых взломщику будет невыгодно заниматься проникновением (т.е. время на тот самый взлом будет гораздо больше и ценнее результата).
Используя пароли вместо ключей и не закрывая от внешки SSH-порт вы ослабляете защиту.
Насчет хранения денег вообще пример некорректный. Насчет конкретной задачи согласен, тем более если хранится совершенно бесценная информация, можно вообще оставить admin/admin дефолтный.
До тех пор, пока на стороне клиента сидит "макака с кувалдой", ни о каких настройках безопасности шлюза не может быть и речи.
DIR-320 & RTN-r3297 from USB>r3478>r3539>r3722>r3815>r3877>r4051>r4990>r5163
Это правило я тоже знаю, но если эти условия станут невыгодны и вам? Мое определение более объемно и не противоречит/отменяет Ваше.
Согласен ослабляю, но при использовании нестандартного высокого порта, защиты его от брутфорса и нормального пароля хотя-бы 8 символов, ОЧЕНЬ незначительно.
Почему? Хранить очень надежно, использовать "неудобно" (как раз то, что не учитывает ваше определение).
Сомниваюсь что правильно понимаю эту фразу ...
tempik aka Mirage-net
Высокий порт никак вам не поможет, если вы не блочите попытки сканирования портов.
Ну можно долго дискутировать.
Собственно в контексте данной темы, мне кажется, если хотите защититься более-менее и таки необходим внешний доступ, то стоит сделать OpenVPN туннель с роутером. Поставить пароль на клиентский кей и ходить по ключу это уже по желанию.
В этом случае, даже если кто-то получит ключ впн, он не получит доступа к SSH. В случае SSH-форвардинга, это более вероятно.