Сижу вот кубатурю. Как то незавметно выросли потребности по удаленным подключениям в конторе. По ИП уже нет возможности фильтровать.
Пока.
Вот подумываю пока про МАС фильтр. Он универсален. Но интересуют соображения по хаку (или бруту ?) такой защиты.
Про ценность инфы ничего не говорите и так все понятно - нет ценности - никому не нужен. Хочу понимать принцип.

Я так понимаю, что вопервых любая защита впервую очередь заключается в надежности самого экрана (условно говоря). Ну, как написано итд.

В данном случае говорим о простом роутере Акорп Спринтер.
Ну в данном случае имеем визуализированный ИпТАблес Линуксовый.
Т.е говорим о том насколько сложно заглянуть в эту железяку чемнибудь извне и получить сведения из таблиц. Ну ИП адреса или в данном случае - МАС адреса.

Ну и во вторую очередь очевидно СНИФ. Т.Е. снятие данных через перехват травика, вычленение из него данных по опять же ИП адресам и МАС адресам.

Про вскрытие админского пароля железяки сейчас речь не ведем.

Очень буду рад вменяемым соображениям.

Учитывая, что при любом варианте проникновения нужно знать либо ИП либо МАС, то главным является задача их получения. Это либо взлом ПО либо получение админского пароля.
НУ и думается, что озабоченных чисто взломом неизвестного адреса мало, да и умеющих тоже не много, то предполагаю, что основная угроза изходит от кухонных факеров, которые сканируют все подряд и пользуются либо проникновением через открытые порты, либо специальным ПО для влома известных образцов железа и защитного ПО.

ТО думается, что две угрозы - сам по себе тип железяки и возможность получения сведений о ней и собственно трафик (пакеты), которые можно перехватить независимо от того, какое железо их выдает-принимает.

НУ а дальше - встает проблема подписаться в сеть вместо легального члена без конфликта.

Для этого надо перегрузить железяку и умудрится прописаться по подставленному ИП или МАС вперед легального участника.

Т.е. устойчивость железяки и ее ПО к способам оверлоада - там пергруз кешей ДНС и прочие возможности.

ТАк же и всякие брутфорсы требуют множественности подключений и попыток.

Сумбурно излагаю, но мое ламерское мнение такое, что железяка и качаство предустановленного ПО - главное.

о_О   Братцы, шо свами ?? Хоть подайте признаки жизни. А то Я беспоиться начинаю ...
:)

фаервол от киски спасёт отца русской демократии ?

Radius, не?

Дурдом

(5) в дурдом посетителей пускают, так что это плохой фаервол

> Как то незавметно выросли потребности по удаленным подключениям в конторе. По ИП уже нет возможности фильтровать.

как ты собрался узнавать маки входящих с инета клиентов?
1снеги такие затейники.

(3)Таки фаер то по чему фильтровать опять будет при наличии подключений с непостоянных ип ? ТОже вопрос.
(4) Не знаком. Но покурю.
(5)Блеать, лучше бы сказал, что фильтрацию по МАК снаружи впринципе нльзя организовать.
Так как умные люди только что сказали, что до меня снаружи будет доходить только уровень данных. Сведения о МАС никак не дойдут.
(7)Ну вот другое дело

Вопрос впринципе исчерпан. Прошу извинисть за пафос.

Эхх, бляха. Как закрыватся то ...

> Так как умные люди только что сказали, что до меня снаружи будет доходить только уровень данных. Сведения о МАС никак не дойдут.

я думал что у тебя есть немного мозгов чтоб понимать что маки видны до ближайшего маршрутизатора.

(10) vpn

(10) Да уж, проблема вселенского масштаба. Проблемы-то нет, надо просто маршрутизатор поставить и список доступа написать.

(11)Да вот теперь есть.
(12)Ну да. Теперь придется думать.

(12) еще один гений

(13)>маршрутизатор
Роутер не ?

Ну и список доступа какой ? По чему индентификация ? По паспорту ?
Или через авторизацию ?

mac можно поменять на любой, вон даже у меня дома на роутере вбивай какой хочешь и будет тебе mac давать "типа" правильный, используй лучше VPN

(15) че не так с vpn ?

(15)И вообще. Ты с лошади то белой снизойди, емае ...

(16)

> Роутер не ?

роутер и маршрутизатор это одно и тоже. Хоть аппаратный, хоть програмный.

> По чему индентификация ? По паспорту ?

ты идиот? по IP. можешь еще тоннель поднять, но для мобильных клиентов неудобно.

(19) а ты не тупи как третьеклассница. Я был уверен что уж это ты знаешь.

(18) все не так. мобильные клиенты не заслуживают таких издевательств. Если народ RDP использует, его защиты хватит.

[мобильные клиенты ] условия меняются по ходу задачи...

(22) в смысле, миллионы обезьян не могут ошибаться ?

(23) у меня почти 500 раб. мест удаленно RDP используют, примерно 40 офисов. Если бы я под каждого тоннель настраивал, устал бы отвечать на вопросы админов удал. офисов.
Народ использует RDP и все. На входе фильтр по IP.

(20)Епрст, так и напрашивается про "ты сам идиот" ...
Я же и написал. что роутер стоит.
Я же и написал, что по ИП нет возможности фильтровать пока.
Я же и написал, что всякие ИП (читай моюильные)

Шо ты пристал к моему IQ.

(22)Да используют. Ты про авторизацию ? Ну думалось, что бы на подступах отфильтровывать.

(23)Ну какая разница мобильный или непостоянный ИП ?

(24)Блеаать . ты каго макакой обазвал ?? О_О

(24) не понимаю тебя. Объясни проще.

> Я же и написал, что по ИП нет возможности фильтровать пока.

ну дак сделай эту возможность

> Ну думалось, что бы на подступах отфильтровывать.

роутер это и есть подступ, на нем и надо фильтровать

> Ну какая разница мобильный или непостоянный ИП ?

большая. Непостоянный IP имеет маршрутизатор какой-нибудь и на нем можно тоннель настроить. Мобильным может быть клоун с планшетом.

(26), (27)
Если народ RDP использует, то это ещё не значит что RDP настолько безопасен, насколько это требуется.

+29 и клоунов все больше.

(30) RDP содержит в себе шифрование которое дает тоннель

Райком, давай к делу. Какой у тебя роутер/маршрутизатор и почему не можешь по ИП фильтровать?

в голосовалке не хватает пункта "Главная угроза - тупой админ"

(28)>роутер это и есть подступ, на нем и надо фильтровать
Ну вот над этим и заморочился. Да с МАСом малость лоханулся. Думал простой вариант прокатит. Ну уже разобрался.

>Ну какая разница мобильный или непостоянный ИП
Это я уже ПумбуЕО спрашивал. Без разницы мобильный или непостоянный - суть одна.

(32)Ну вот тут согласен. Но это всеравнео уже к локальному порту подпускает будут ковыряться кому не лень.

(33) Потому что есть несколько подключений, которые по техническим причинам не могут выходить с постоянных ИП. Это модемы Мегафона. Уних щас напрях с постоянными ИП. ЕПРСТ, народ в очередь стоитю

А они парят людям :))) что адресное пространство кончается уссатся.

Понятно оно не бесконечно и сейчас уже приходится перекупать пулы.
Но сдается мне, что тут дело в экономике.

(32) не шифрованием единым

(34)Да харе уже умничать. Емае. Знаем все про Интел рулит ... Блеа вот откуда спеси в тебе стоко ...

> Но это всеравнео уже к локальному порту подпускает будут ковыряться кому не лень

к какому локальному? у тебя на роутере будет фильтр по IP и до сервера никто не дойдет без разрешения.

(38)Ну ПЦ. Не разочаровывай меня.
Какой фильтр по ИП ?
С невозможности это организовать и начинался саб. Емае. Ты там сам с собой штоле ? :)

(38) А ты про какие роутеры так уверенно говоришь ?

[мобильный клиент] - я имел ввиду GPRS ... и конечно там vpn не сильно рулит.
Где в постановке говориться, что надо один только RDP пропускать?

(41)Если быть точным, то мобильный в данном случае - это кто попало и откуда попало.

(40)Где есть ИП филтеринг и ПортФорвардинг.

(40) на FreeBSD, например

(39) ты мутный

(41)Ну РДП - частный случай. ФТП еще защитить хотелось бы не авторизацией.

+44 ipfw

(42) Чтобы быть совсем точным, нужно указать все возможные типы связи для этих клиентов.
Я ноуту отдавал инет (3G) со своего смартфона. Простой RDP был куда быстрее и стабильней, чем через OpenVPN.

(44) :))))))))))))))
Блин, хоть что то постоянное есть в этом мире.
Я про Интел рулит то сказал. а про Фри то не стал.о помню :)

все, у меня водка кончилась, умничайте без меня.
потом почитаю

(44), (46)
епись конём, чувак.
Не все тут *никсоиды и не всем хочется/можется гемор с БСДёй.
Мелкий офис с DIR-655 на границе. И что ты сделаешь ?

ДА понятно. Так то можно шлюз просто на Линупсе вон на фряхе поднять. на нем авторизовать и все.

Но я говорю именно про средства простого роутера.

Да ладно. Остальное уже для сабжа - софистика.
На свой вопрос я ответ получил уже.

Так то всем спасибо. Снобам - тоже.

(50) если роутер не позволяет решить поставленную задачу, надо менять роутер, а не придумывать затычки.

(53) Где здесь затычки ?
Перепрошивку вроде не рекомендовали ещё

> Но я говорю именно про средства простого роутера.

у колхозных коробок за 100 баксов нет удобных инструментов для решения задач, которые хоть сколько-нибудь отличающихся от задач обычной лавки.

кнокинг )

(54) затычка тут есть само придумывание затычки при том что бордер не позволяет решить поставленную задачу

(53) ДА ладно. Слышали. Не заводи свою коляску :)
Одинесники - ламеры
Интел рулит.
Мыже уже знаем.

(55)Дак я уже понял. Прерви цикл :)

(57)Не. ТЕбе просто скучнонаверно. Дожж за окном ?

(59) сухо давно, солнце и травка

Ты на СевероЗападе щас ? Или нет уже ?

(61) не важно

(56)Это что за порошок ?

а по делу прапор прав, достаточно рдп, но пароли

(63) это почти шутка - перебор портов в последовательности

Олег Валентинович дело говорит. Пароли сильные ставить и менять чаще. У тоннелей дыр для взлома больше встречал, чем у РДП. Шифрование ставить сильное и спать спокойно.

(62)Ты прав. Ну не нуди. Соломон все за нас решил. Все проходит.

(0) Ну ладно, братцы. Спасибо всем. Я пошол.
(64)Дак кто бы спорил. Тока он малость невдухе ...

(65)Аааа ... Есть такое правило для 21 порта. Стукнуться надо на определенный, что бы 21 открылся. Понял