Такого NATа нам не NATо⁠⁠

Ну я все-таки из старой гвардии времен Фидо и просто ББС. Так-то извиняйте. руки и мысли живут разными жизнями ) Думаю одно, пушу другое, имею ввиду третье )

Слууушай, тут 121 коммент уже, фига себе я душой крикнул. и по моему 118 это наша переписка только )

Ну согласись, что это все настроить скажем так "опытный пользователь" позиционирующий себя кул сисадмином явно не сможет. А спецов конторы не зовут. Потом отгребают.

Хах, про бекапы я как раз хотел тоже отдельно снять. Там на самом деле ппц что творится. Пока не клюнет, ни один начальник пальцем не пошевелит.

Только нет гарантии, что те, кто сидит да чьим-то сервером не продают налево ваши пароли )

https://habrahabr.ru/company/myasterisk/blog/130325/

как вариант

Что у вас за станция, на базе чего. чистая установка, Freepbx, elastix?

Теперь это будет твоя карма и они везде тебе будут ставить -1

Да ппц, я сам уже поржал.

Жестоко будет так ) Наоборот, добавить мак шлюза провайдера при серых айпи в исключения.

Смотря о чем ты )

А ты жесток (

Ну так кто-то писал, что вероятность того, что вас взломают из подсети вашего провайдера стремится к нулю ) Так-что по логике - да ))))

Не, ну одно дело заббиксы крутить и ладно ВПН, но ведь народ туда все кидает и АТС в облака, и 1С и что только не жалко, а потом удивляются, а кто узнал наших контрагентов и т.д.

Вот беда вся в том, что не за долго до этого мой смартфон приказал доооолго жить. А тот аппарат, что сейчас на подхвате - он не умеет писать )

Бан рулит, но иногда и сам влетаешь в него, потому, что зацепил капс при наборе пароля ) Ну или другие проблемы. Бан решение, но он не должен быть долгим.

Да мы снова вернулись к VPN. Да. это все круто, но если у тебя ВПН с пользователем Администратор и паролем 123 - это все фигня будет. А все началось именно с этого.

Нууууу, тут зависимость от облака есть. Не люблю облака (

Уговорил, пошел читать и смотреть )

Вообще при использовании любого вида VPN куда проще обеспечить безопасность. Это факт. Тем более VPN сервер может быт поднят на самом роутере, а далее твори что хочешь.

Кстати на одном объекте для обеспечения безопансости мы делали обратную авторизацию через VPN. Имеется ввиду, что не клиент стучится с серверу, а сервер к клиенту через ddns. в принципе работает не плохо

Мне вот интересно, везде где я пишу слово школьник, у моего поста сразу рейтинг -1. Где я просто пишу, там или 0 или +1. Есть подозрение, что тут завелся школьник ))))

Не видел такого зверя к моему стыду. Пошел-ка я почитаю....

Ну на правильной айпи телефонии эти задачи решены с помощью fail2ban. Ну а так, если у тебя на 2 ната, то с пробросом проблем нет никаких

Мне нравится решение когда люди просто используют двойную авторизацию. А именно, любой клиент должен сперва стукнуться на порт (к примеру) 7724 с логином "Вася",и каким-то "паролем". Система его идентифицирует и добавляет во временное исключение, после чего он коннектится на тот же терминал и работает. Но тут уже масса неудобств для клиента. За то тут безопасность куда по приятнее и достаточно надежная. Пошел сразу на 3389, получи банан

Да не вопрос, а если клиент на динамике? А если он вообще идет с серого IP?

+1. DMZ и для веб серверов тоже я не стал бы использовать. Как я писал ранее, многие вещи можно решать не средствами и силами сервера, а еще на подлете силами роутера, при условии если это не D-Link или TP-Link. К любому решению нужно подходить с умом, а не с паролем 123.

VPN это отличное решение, но не всегда подходящее к сожалению. Да и говорить к примеру о PPTP или L2TP + ipsec. и то и то решения хорошие, но лично мне второе нравится больше.

Вот как раз один из разумных ответов. Не единственный, но... брут можно резать на уровне роутера, если только там нормальный роутер и поддерживает такие игрушки. Да как минимум по числу неудачных соединений временно навешивать бан. 3  попытки подключения сфейлил, иди в бан на часик.

Ну тоже верно

Да это будет уже рекламой тут. А пост как бы общий. Скажу так. Альтернативный терминальный сервер (Thinstuff). Надеюсь это не будет рекламой, тем более ни я спросил )

Вариант весьма отличный, но от раздолбайства пользователей не спасет. Ведь одно дело при проверке на отклик, а другое дело на достаточно длительную процедуру, но тем не менее имеющую место быть, это процесс установки соединения на порт?

Ну если вы не знаете, что такое проброс портов - то извините. Вообще общая суть всего происходящего заключается в том, что люди ставят простые пароли и врубают в 90% случаев DMZ к своим компам и считают это нормальным. А для организации нормального внешнего доступа нужно в каждом случае разбираться отдельно. В ином случае достаточно сделать фильтрацию по MAC, в другом, просто поставит нормальный пароль. Нет единого решения всех задач, но есть общие правила, не соблюдая которые ты хоть что делай, все равно проблему не решишь. И устанавливать нормальные пароли и не включать DMZ если в этом нет прямой необходимости, это первые основные правила. Об этом и сказано. И ролик просто подтянут по принципу "крик души". Я не думаю, что к примеру из-за такой вот глупости пользователя, если бы Вам позвонили домой, угрожали бы, а у вас дома жена, дети. Вам это было бы приятно.

Ну одно дело писать на стене своей конторы, другое на стене в ОК или ВК )

Гы, скоро тут будет свой список любимых паролей!

+1

Ну это может делать уже нормальный админ, а какие работают во многих конторах, то пусть хотя бы пароли нормальные научатся назначать.

Ну про VPN я тоже сказал, только вот роутер бы еще адекватный ставили бы. Типа Микротика. Да и правила прописывали нормальные. Вообще беды не знали бы. fail2ban конечно тоже не плохо, но его надо понимать на каждом сервере, а вот если это же самое решается роутером (хотя все далеко и им не решишь) ... В общем VPN Наше все

22

Да мир мне менять не надо, но как я писал выше. Я теперь при оказании помощи или консультировании по вопросу внешнего доступа, даю ссылку на это видео, что внимательно посмотрите. Потом претензий чтобы не было. Т.е. купил софт, посмотри видео.

Хотя бы теперь мне никто претензий не предъявит. Хотя по хорошему, я то вообще там был не причем. Ну вот такой вот бред. Я пожалел, что телефонный разговор не писался.

Видео - как единственный вариант дать понять людям, что Вы сами себе злостный буратино. И теперь в письмах я даю сразу ссылку на это видео. А если народ совсем уже того... то мое видео им сильно не поможет, но я хоть смогу теперь сказать, что я предупреждал

Да, всего 2к рублей, а нервотрепки устроили. Да скажите вы сразу в чем проблема.

Да вот беда. За эту неделю я уже в 3 конторах встретил обычный DMZ, при это м в 2 местах даже пароля нет. в 1 на видеорегистратор, во втором на обычный комп.

Пойду-ка я прогульнусь nmap-ом по сетке провайдера ) Вдруг чего найду )

Ну вообще-то у роутеров тоже МАКи есть. И снова повторюсь. Каждая ситуация должна рассматриваться отдельно в зависимости от вводных.

Да смотря для каких целей и с какими начальными установками она эксплуатируется.

Ну если честно, мне больше нравится решение с использованием сертификатов. Хотя снова повторюсь, но каждая ситуация должна рассматриваться отдельно. Потому как к примеру если в конторе всем на смартфонах должна быть подтянута IP телефония и при этом эти люди все время находятся в разъездах и их IP и MAC могут меняться, так как они то в гостинице по вайфай, то в поезде по 4Г, то тут лучше просто слушать порт на ошибочные подключения и временно на привязь сажать.

Так если аутентификация идет по конкретному IP, то разница есть, а если по МАКу, то разницы нет. Кроме его серовсти

Вот уж эти руководители. От части и их понять можно. Держать своего сисадмина, платить ему зарплату, а он даже мануал покурить не хочет - тоже обидно.

Авторизация по ключам согласен, но оптимально ее скрещивать к примеру с MAC фильтрацией, ведь наличие ключа не дает гарантии того, что этот ключ не попадет в третьи руки, хотя честно я бред написал, так как даже MAC подменить при желании можно запросто. Иными славами нет полного решения для обеспечение 100% безопасности. Всегда есть уязвимость.

А вдруг там trim() живет )

Нестандартные порты это не средство для пряток, а лишь дополнительный инструмент для организации безопасности данных. Именно один из инструментов. Примерно как гаечный ключ при ремонте машины. Одним ключом не сделать, но нужную гайку он подтянет.

Ну от школьников уже и это спасает не плохо.

Такой мы тоже знаем, мы не знаем 32123

Ну, кстати не такое страшное решение. мой стандартный пароль почти от всех регистраций состоит всего из 50 знаков (жаль не все сервисы берут такую длину пароля). Он из просто хаотичного набора букв и цифр. Вот так вот выучил рандом в свое время. Даже зная это пароль задолбаешся его набирать ) Но оговорюсь. у меня один пароль на все НЕ ЗНАЧИМЫЕ регистрации, к примеру всякие ОК, ВК, котрые и потерять-то не жалко.