LINUX.ORG.RU
ФорумAdmin

Роутер или всё же отдельный сервер?

 , , ,


0

1

Есть задача — сделать сервер в офисе видимым снаружи, чтобы туда подключались из соседнего офиса (через удалённый рабочий стол).

Так как директор параноик со справкой, он хочет, чтобы стояла защита такого рода: когда враг пытается перебирать порты снаружи, и стучится вначале в закрытый порт, врага банят на несколько минут так, что даже открытый порт выглядит для врага ровно так же, как и закрытый.

Идея в том, чтобы открытый порт нельзя было обнаружить простым перебором всех портов подряд. Можно ли найти хорошую железку, в которой будет этот функционал, и которая будет до кучи раздавать DHCP и Wi-Fi? Или для этого придётся поднимать отдельный небольшой сервер?

В железке пугает ещё то обстоятельство, что в прошивках иногда находят дыры, через которые также можно влезть внутрь.


Ответ на: комментарий от fornlr

17 тысяч в России стоит… Это недёшево.

Ritz
() автор топика

объясни директору, что подключения можно разрешить только для ip- адреса соседнего офиса и заниматься хернёй вокруг его фантазий совершенно ненужно.

bass ★★★★★
()
Ответ на: комментарий от bass

Ищите устройства с поддержкой PSAD
https://defcon.ru/network-security/4520/

Спасибо. Пока что остановился на вот этой хрени, там защита от портскана есть:

MikroTik CRS109-8G-1S-2HnD-IN

https://market.yandex.ru/product--wi-fi-router-mikrotik-crs109-8g-1s-2hnd-in/...

объясни директору, что подключения можно разрешить только
для ip- адреса соседнего офиса и заниматься хернёй вокруг
его фантазий совершенно ненужно.

Попытаюсь. Директор офицер ПВО в отставке, он не всегда расположен слушать.

Ritz
() автор топика
Ответ на: комментарий от bass

Это кстати самая здравая мысль. Пакетным фильтром открыть только IP удалённого офиса. Пусть хоть обсканируются снаружи.

Mike_RM
()
Ответ на: комментарий от Ritz

Просто у каждого действия есть цель. Какую цель преследует твой директор, открывая порты напоказ всем подряд и настраивая бан этих всех подряд? Выясни у него цель предложенных им мероприятий.
У тебя, насколько я понял, нет публичных сервисов, где бы был нужна psad или failtoban.
Но для доверенных подключений используют другие инструменты - от port knocking до vpn.

bass ★★★★★
()
Ответ на: комментарий от Ritz

директор параноик со справкой
MikroTik CRS109-8G-1S-2HnD-IN

так себе выбор конечно. полистай хоть события за последний год вокруг уязвимостей микротиков

bass ★★★★★
()
Ответ на: комментарий от bass

Если куплю роутер за 17 тысяч, как предлагали выше, на сервер останется меньше денег.

Ritz
() автор топика

Любое говно, которое заведется под openwrt. А шефу расскажи про vpn!

vasya_pupkin ★★★★★
()

Идея в том, чтобы открытый порт нельзя было обнаружить простым перебором всех портов подряд.

И как это логически вы собрались разрешить? Ведь пока пользователь не введет пароля, его никак нельзя разделить с валидным пользователем.

vodz ★★★★★
()
Ответ на: комментарий от vodz

И как это логически вы собрались разрешить? Ведь пока
пользователь не введет пароля, его никак нельзя разделить
с валидным пользователем.

Если ткнулся первый раз в закрытый порт, то при попытке зайти в открытый тоже не пускают, хоть он и открыт.

Ritz
() автор топика

директору скажи, что это детский сад.

сервер или, к примеру, mikrotik подойдут.

zgen ★★★★★
()

Эм а не проще ли настроить firewal так чтобы открывал порты для определ ip ?

А так по теме:

https://www.pcengines.ch/apu2.htm + ubuntu + fail2ban.

Но тебе для задачи любого микротыка хватит. Просто настрой там ipsec например ..

Jopich1
()
Последнее исправление: Jopich1 (всего исправлений: 2)
Ответ на: комментарий от Ritz

Если ткнулся первый раз в закрытый порт, то при попытке зайти в открытый тоже не пускают, хоть он и открыт.

Увы, это сработает только от бедных хакеров. Богатые напустят на вас ботнет и каждое тыкание и потом перебор паролей будет от разных IP.

vodz ★★★★★
()
Ответ на: комментарий от vodz

openwrt

Будут ли у него автоматические обновления? Я не уверен.

к примеру, mikrotik подойдут
тебе для задачи любого микротыка хватит

Это мне нравится. Чем меньше времени я потрачу на настройку, тем лучше.

Увы, это сработает только от бедных хакеров

Я надеюсь, что мы и бедным нахер не сдались.

Ritz
() автор топика

Как директор проверит защиту?
Аудит?
Или ты ему должен сказать, что «всё готово»?
Если второе — то говори , что «всё готово».

anonymous
()
Ответ на: комментарий от Ritz

Эм а не проще ли настроить firewal так чтобы открывал порты для определ ip ?

Т е mikrotik с автоапдейтами + firewall на опреде ip тебя спасет

Ну если хошь ubuntu:

https://www.pcengines.ch/apu2.htm

Jopich1
()
Последнее исправление: Jopich1 (всего исправлений: 1)
Ответ на: комментарий от Ritz

Я надеюсь, что мы и бедным нахер не сдались.

Увы но это не так. Ботнет он такой, не разбирает, ху есть ху.

Присоединяюсь к выше отписавшимся - vpn, а при учете что это конкретный офис для успокоения паранойи можно и fw добавить.

anc ★★★★★
()
Ответ на: комментарий от anonymous

Или ты ему должен сказать, что «всё готово»?
Если второе — то говори , что «всё готово».

Так нельзя. Честь админская не хрен собачий.

mikrotik с автоапдейтами + firewall на опреде ip тебя спасет

Вот к этому варианту я и склоняюсь, ибо он самый дешёвый и лёгкий пока что.

Присоединяюсь к выше отписавшимся - vpn

Это надо будет ехать в соседний офис, настраивать там vpn... Я лучше просто по IP ограничу доступ.

Ritz
() автор топика
Ответ на: комментарий от Ritz

Это надо будет ехать в соседний офис, настраивать там vpn... Я лучше просто по IP ограничу доступ.

Ну у вас же есть уже «незащищенный» удаленный доступ. А VPN всегда полезно — можно ходить по всей внутренней сети без мозгоклюйства с пробросом.

vodz ★★★★★
()
Ответ на: комментарий от vodz

Ну у вас же есть уже «незащищенный» удаленный доступ. А VPN всегда полезно — можно ходить по всей внутренней сети без мозгоклюйства с пробросом.

Определи. Хотел написать ровно то же.

anc ★★★★★
()
Ответ на: комментарий от voltmod

Когда настроишь, скинь ип.

127.14.200.3

Ritz
() автор топика

По поводу железа: лет 5 воевал с железкой называемой dlink-ом «фаервол» за 700 баксов, так вот война закончилась отправкой в помойку этой поделки и установкой полноценного компа с нормальным процом, ОЗУ и т.д. Минусы размеры и энергопотребление, но оно того стоит.

По вашей задаче пойдёт почти любой роутер умеющий iptables c модулем recent. Решение достаточно простое:

*filter
:PORT_GRAYED - [0:0]
:BAN - [0:0]

-A INPUT -p tcp -m tcp --dport <PORT> -m recent --rcheck --name port_baned                              -j DROP
-A INPUT -p tcp -m tcp --dport <PORT> -m recent --rcheck --name port_grayed                             -j ACCEPT
-A INPUT -p tcp -m tcp --dport <PORT> -m recent --rcheck --name port_grayed --seconds 600 --hitcount 10 -j BAN
-A INPUT -p tcp -m tcp --dport <PORT> -m recent --rcheck --name port_grey   --seconds 600               -j DROP
-A INPUT -p tcp -m tcp --dport <PORT> -m recent --rcheck --name port_grey                               -j PORT_GRAYED
-A INPUT -p tcp -m tcp --dport <PORT> -m recent --set    --name port_grey                               -j REJECT
-A BAN                                -m recent --set    --name port_baned                              -j DROP
-A PORT_GRAYED                        -m recent --set    --name port_grayed                             -j ACCEPT

COMMIT

В чистка с помощью crontab раз в 30 минут:
*/30 *	*    * *	root	echo / > /proc/net/xt_recent/port_grey ; echo / > /proc/net/xt_recent/port_grayed
Для соединения надо кинуть 1 пакет, подождать 600 сек и подключаться со спокойной душой на нужный порт. Больше 10 соединений в 10 минут - перманентный бан.

Ну а вообще верно другие говорят - openvpn и т.п.

Dimarius
()

ipset+iptables и бань себе на здоровье, хоть на час хоть вечный бан.

xaTa ★★★★
()
Ответ на: комментарий от Ritz

О какой «чести» можно говорить, если вам сказали сделать «дурную работу», а вы не удосужились объяснить заказчику что его задачи решаются нормальными путями, а не то как он себе нафантазировал.

Ien_Shepard ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.