У нас оригинально угнали микротик в удаленном филиале, поправив фаерволл следующим образом
Это надо же - покупать дырявое по софту железо вроде микротиков и длинк дир 6** а потом жаловаться, что угнали....
Ну почти. На самом деле, все так или иначе подвержены уязвимостям. Основная задача - перекрыть к ним доступ или отправить мимо.
Больше конкретики никак? Все обосрал, чем пользоваться - непонятно. Может, ты ваще не в теме, а так, интернет-балабол очередной?
не в качестве совета, у меня сетка построена на софтовом роутере- Kerio Control, vpn каналы на нём же, из бесплатных pfsense
Развязка была такая: тётя которая там работает переткнула проводочки, временно тырнет воткнули в свитч,настроили на её компе,надстроили микрот и переткнули асе обратно
За конкретику безопасники денег возьмут. А по факту уже некоторые описали - ssh, сервер изнутри, который принимает на себя и рубит ddos, снижая нагруз на роутер и по vnc через браузер управляется роутер изнутри локалки. Все технические порты включая прокси валятся в необслуживаемый порт сервера, где глушатся автоматикой iptables. Извне остается только ssh и vnc на серв
Вот как раз обновлял предыдущий ответ и уже прокомментили. Любой роутер валится при возможности удаленного доступа к нему. Важно это закрыть и перевести на порты. А если описанное мной в предыдущем коменте полощет вам мозги - читайте описание терминов. А чтобы понять уязвимости тех или иных производителей железа - подпишитесь на уязвимости от секлаб, очень удивитесь, а просмотрев статистику решите - кого обсирать и у кого прогеры криворукие или кто оставляет бэкдоры в своем железе
Я их использую уже лет 10. За счет белого ip постоянно под ддосом разных ботнетов, то больше то меньше. DMZ не всегда нужна, поэтому отключена, значит - переадресация. Может челу надо было разжевать, как поднять лин-серв, сделать ключи, сделать vnc, сделать пускать логи с роутера на серв, настраивать порты, fail2ban?
Доброго дня! Мне, если можно, разжуйте, пожалуйста.
Ситуация такая: работаем по рдп, статический ip - статический ip. Фаерволом доступ только для одного ip. Все закрыто.
Проблема: в офисе остается статик ip, а на втором конце статик невозможен, будет только динамический. А доступ по рдп нужен.
Как можно разрулить ситуацию?
Забыл - при запуске/остановке vnc-сервиса нужно также открывать/закрывать порт в iptables для функционирования vnc. Для этого проще написать 2 bash-скрипта, например vnc_st и vnc_sp, в которых и прописать нужные команды. Оставлять открытым порт vnc на сервере не стОит :)
Не помню уже в чем там дело было, речь, вроде, была о доступе к интерфейсу микротика из локальной сети. Суть такая - ставится сервер на линукс, какой-нибудь миниитх. На роутере открывается 2 порта - один по ssh, другой для vnc, оба ведут на внутри локалки расположенный сервер. На сервере vnc отрублен. по ssh входите, запускаете на сервере vnc, и уже через vnc с рабочего стола linux открываете интерфейс роутера. После работы сервер vnc отключаете. Да, на ssh натравливаете fail2ban, 3 раза мимо - и можно отправлять ip на 30-60 суток в игнор. Если предприятие большое - можно в connectbot. на телефоне держать все такие удаленные сервера списком.
Сама по себе схема дороговата, но сервер может исполнять много обязанностей - быть принимающей "жертвой" для ddos атак (роутер разгружается, просто перенаправляя пакеты туда), быть складом логов, сервером времени, и т.д. В офисе можно найти применение...
Информационная безопасность IT
1.5K постов25.6K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.