Роутер или всё же отдельный сервер?

0

1

Есть задача — сделать сервер в офисе видимым снаружи, чтобы туда подключались из соседнего офиса (через удалённый рабочий стол).

Так как директор параноик со справкой, он хочет, чтобы стояла защита такого рода: когда враг пытается перебирать порты снаружи, и стучится вначале в закрытый порт, врага банят на несколько минут так, что даже открытый порт выглядит для врага ровно так же, как и закрытый.

Идея в том, чтобы открытый порт нельзя было обнаружить простым перебором всех портов подряд. Можно ли найти хорошую железку, в которой будет этот функционал, и которая будет до кучи раздавать DHCP и Wi-Fi? Или для этого придётся поднимать отдельный небольшой сервер?

В железке пугает ещё то обстоятельство, что в прошивках иногда находят дыры, через которые также можно влезть внутрь.

Ссылка

←	command a expects \ followed by text

vrrp/keepalived внешние интерфейсы

→

https://omnia.turris.cz/en/

fornlr ★★★★★
(09.12.18 14:55:19 MSK)

Ответ на: комментарий от fornlr 09.12.18 14:55:19 MSK

17 тысяч в России стоит… Это недёшево.

Ritz
(09.12.18 15:00:19 MSK) автор топика

Ссылка

Ищите устройства с поддержкой PSAD https://defcon.ru/network-security/4520/

Mike_RM ★
(09.12.18 16:07:22 MSK)

Ссылка

объясни директору, что подключения можно разрешить только для ip- адреса соседнего офиса и заниматься хернёй вокруг его фантазий совершенно ненужно.

bass ★★★★★
(09.12.18 16:24:25 MSK)

Ответ на: комментарий от bass 09.12.18 16:24:25 MSK

Ищите устройства с поддержкой PSAD
https://defcon.ru/network-security/4520/

Спасибо. Пока что остановился на вот этой хрени, там защита от портскана есть:

MikroTik CRS109-8G-1S-2HnD-IN

https://market.yandex.ru/product--wi-fi-router-mikrotik-crs109-8g-1s-2hnd-in/...

объясни директору, что подключения можно разрешить только
для ip- адреса соседнего офиса и заниматься хернёй вокруг
его фантазий совершенно ненужно.

Попытаюсь. Директор офицер ПВО в отставке, он не всегда расположен слушать.

Ritz
(09.12.18 16:35:37 MSK) автор топика

Ответ на: комментарий от bass 09.12.18 16:24:25 MSK

Это кстати самая здравая мысль. Пакетным фильтром открыть только IP удалённого офиса. Пусть хоть обсканируются снаружи.

Mike_RM ★
(09.12.18 16:40:07 MSK)

Ссылка

Ответ на: комментарий от Ritz 09.12.18 16:35:37 MSK

Просто у каждого действия есть цель. Какую цель преследует твой директор, открывая порты напоказ всем подряд и настраивая бан этих всех подряд? Выясни у него цель предложенных им мероприятий.
У тебя, насколько я понял, нет публичных сервисов, где бы был нужна psad или failtoban.
Но для доверенных подключений используют другие инструменты - от port knocking до vpn.

bass ★★★★★
(09.12.18 16:45:16 MSK)

Ссылка

Ответ на: комментарий от Ritz 09.12.18 16:35:37 MSK

директор параноик со справкой
MikroTik CRS109-8G-1S-2HnD-IN

так себе выбор конечно. полистай хоть события за последний год вокруг уязвимостей микротиков

bass ★★★★★
(09.12.18 16:47:51 MSK)

Ответ на: комментарий от bass 09.12.18 16:47:51 MSK

Если куплю роутер за 17 тысяч, как предлагали выше, на сервер останется меньше денег.

Ritz
(09.12.18 16:53:22 MSK) автор топика

Ссылка

Любое говно, которое заведется под openwrt. А шефу расскажи про vpn!

vasya_pupkin ★★★★★
(09.12.18 17:19:41 MSK)

Ссылка

Идея в том, чтобы открытый порт нельзя было обнаружить простым перебором всех портов подряд.

И как это логически вы собрались разрешить? Ведь пока пользователь не введет пароля, его никак нельзя разделить с валидным пользователем.

vodz ★★★★★
(09.12.18 17:34:24 MSK)

Ответ на: комментарий от vodz 09.12.18 17:34:24 MSK

И как это логически вы собрались разрешить? Ведь пока
пользователь не введет пароля, его никак нельзя разделить
с валидным пользователем.

Если ткнулся первый раз в закрытый порт, то при попытке зайти в открытый тоже не пускают, хоть он и открыт.

Ritz
(09.12.18 17:53:31 MSK) автор топика

Ответ на: комментарий от fornlr 09.12.18 14:55:19 MSK

это обычный openwrt ..

~~Jopich1~~ ☆
(09.12.18 17:59:29 MSK)

Ссылка

директору скажи, что это детский сад.

сервер или, к примеру, mikrotik подойдут.

~~zgen~~ ★★★★★
(09.12.18 18:01:09 MSK)

Ссылка

Эм а не проще ли настроить firewal так чтобы открывал порты для определ ip ?

А так по теме:

https://www.pcengines.ch/apu2.htm + ubuntu + fail2ban.

Но тебе для задачи любого микротыка хватит. Просто настрой там ipsec например ..

~~Jopich1~~ ☆
(09.12.18 18:01:34 MSK)
Последнее исправление: Jopich1 09.12.18 18:03:49 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от Ritz 09.12.18 17:53:31 MSK

Если ткнулся первый раз в закрытый порт, то при попытке зайти в открытый тоже не пускают, хоть он и открыт.

Увы, это сработает только от бедных хакеров. Богатые напустят на вас ботнет и каждое тыкание и потом перебор паролей будет от разных IP.

vodz ★★★★★
(09.12.18 18:05:33 MSK)

Ответ на: комментарий от vodz 09.12.18 18:05:33 MSK

openwrt

Будут ли у него автоматические обновления? Я не уверен.

к примеру, mikrotik подойдут
тебе для задачи любого микротыка хватит

Это мне нравится. Чем меньше времени я потрачу на настройку, тем лучше.

Увы, это сработает только от бедных хакеров

Я надеюсь, что мы и бедным нахер не сдались.

Ritz
(09.12.18 18:14:47 MSK) автор топика

Как директор проверит защиту?
Аудит?
Или ты ему должен сказать, что «всё готово»?
Если второе — то говори , что «всё готово».

anonymous
(09.12.18 18:19:07 MSK)

Ответ на: комментарий от Ritz 09.12.18 18:14:47 MSK

Эм а не проще ли настроить firewal так чтобы открывал порты для определ ip ?

Т е mikrotik с автоапдейтами + firewall на опреде ip тебя спасет

Ну если хошь ubuntu:

https://www.pcengines.ch/apu2.htm

~~Jopich1~~ ☆
(09.12.18 18:19:32 MSK)
Последнее исправление: Jopich1 09.12.18 18:20:47 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Ritz 09.12.18 18:14:47 MSK

Я надеюсь, что мы и бедным нахер не сдались.

Увы но это не так. Ботнет он такой, не разбирает, ху есть ху.

Присоединяюсь к выше отписавшимся - vpn, а при учете что это конкретный офис для успокоения паранойи можно и fw добавить.

anc ★★★★★
(09.12.18 18:24:28 MSK)

Ссылка

Ответ на: комментарий от anonymous 09.12.18 18:19:07 MSK

Или ты ему должен сказать, что «всё готово»?
Если второе — то говори , что «всё готово».

Так нельзя. Честь админская не хрен собачий.

mikrotik с автоапдейтами + firewall на опреде ip тебя спасет

Вот к этому варианту я и склоняюсь, ибо он самый дешёвый и лёгкий пока что.

Присоединяюсь к выше отписавшимся - vpn

Это надо будет ехать в соседний офис, настраивать там vpn... Я лучше просто по IP ограничу доступ.

Ritz
(09.12.18 18:29:46 MSK) автор топика

Ответ на: комментарий от Ritz 09.12.18 18:29:46 MSK

Это надо будет ехать в соседний офис, настраивать там vpn... Я лучше просто по IP ограничу доступ.

Ну у вас же есть уже «незащищенный» удаленный доступ. А VPN всегда полезно — можно ходить по всей внутренней сети без мозгоклюйства с пробросом.

vodz ★★★★★
(09.12.18 18:51:20 MSK)

Ответ на: комментарий от vodz 09.12.18 18:51:20 MSK

Ну у вас же есть уже «незащищенный» удаленный доступ. А VPN всегда полезно — можно ходить по всей внутренней сети без мозгоклюйства с пробросом.

Определи. Хотел написать ровно то же.

anc ★★★★★
(09.12.18 19:04:28 MSK)

Ссылка

Когда настроишь, скинь ип.

voltmod ★★
(09.12.18 20:14:44 MSK)

Ответ на: комментарий от voltmod 09.12.18 20:14:44 MSK

Когда настроишь, скинь ип.

127.14.200.3

Ritz
(09.12.18 20:22:47 MSK) автор топика

Ссылка

По поводу железа: лет 5 воевал с железкой называемой dlink-ом «фаервол» за 700 баксов, так вот война закончилась отправкой в помойку этой поделки и установкой полноценного компа с нормальным процом, ОЗУ и т.д. Минусы размеры и энергопотребление, но оно того стоит.

По вашей задаче пойдёт почти любой роутер умеющий iptables c модулем recent. Решение достаточно простое:

*filter
:PORT_GRAYED - [0:0]
:BAN - [0:0]

-A INPUT -p tcp -m tcp --dport <PORT> -m recent --rcheck --name port_baned                              -j DROP
-A INPUT -p tcp -m tcp --dport <PORT> -m recent --rcheck --name port_grayed                             -j ACCEPT
-A INPUT -p tcp -m tcp --dport <PORT> -m recent --rcheck --name port_grayed --seconds 600 --hitcount 10 -j BAN
-A INPUT -p tcp -m tcp --dport <PORT> -m recent --rcheck --name port_grey   --seconds 600               -j DROP
-A INPUT -p tcp -m tcp --dport <PORT> -m recent --rcheck --name port_grey                               -j PORT_GRAYED
-A INPUT -p tcp -m tcp --dport <PORT> -m recent --set    --name port_grey                               -j REJECT
-A BAN                                -m recent --set    --name port_baned                              -j DROP
-A PORT_GRAYED                        -m recent --set    --name port_grayed                             -j ACCEPT

COMMIT

В чистка с помощью crontab раз в 30 минут:

*/30 *	*    * *	root	echo / > /proc/net/xt_recent/port_grey ; echo / > /proc/net/xt_recent/port_grayed

Для соединения надо кинуть 1 пакет, подождать 600 сек и подключаться со спокойной душой на нужный порт. Больше 10 соединений в 10 минут - перманентный бан.

Ну а вообще верно другие говорят - openvpn и т.п.

Dimarius ★
(10.12.18 11:58:33 MSK)

Ссылка

ipset+iptables и бань себе на здоровье, хоть на час хоть вечный бан.

xaTa ★★★
(12.12.18 03:40:27 MSK)

Ссылка

Ответ на: комментарий от Ritz 09.12.18 18:29:46 MSK

О какой «чести» можно говорить, если вам сказали сделать «дурную работу», а вы не удосужились объяснить заказчику что его задачи решаются нормальными путями, а не то как он себе нафантазировал.

Ien_Shepard ★★★
(12.12.18 03:53:44 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	command a expects \ followed by text

Admin

vrrp/keepalived внешние интерфейсы

→

Похожие темы