Есть домашняя сеть. Роутер Асус с адресом 192.168.1.1, есть машина с windows 10 подключенная по вайфай к роутеру с адресом 192.168.1.2, на ней стоит virtual box с windows 2008 с адресом 192.168.1.3. Хочу купить у провайдера белый постоянный адрес и пробросить его на 192.168.1.3. На самом деле провайдер просто порты откроет. Чтобы поиграться со своим веб сервером на windows 2008. Тут мне все ясно, ну если ошибусь то просто все работать будет, вопрос не про веб сервер и проброс портов.

В общем, админ на работе меня напугал, что как только я сделаю себе белый ип и провайдер откроет весь входящий трафик, то сначала мне разломают windows 2008, потом разломают домашнюю сеть, через нее залезут на хост и ее тоже разломают. Теперь я очкую у провайдера белый ип покупать. Все винды то без заплаток, обновлений и антивирусов, по известным причинам.

Что и как  мне настроить на роутере или еще где, чтобы этого не произошло? И вообще на сколько это оправдано, ведь я пробрасывать буду только 80 порт. Могут ли мне через 80 порт веб сервера, через апач установленной на виртуальной машине разломать мне хост машину?

Могут, но вероятность этого довольно низка.
Зато вот выстави МС Скуль или РДП наружу и посмотри в логах - будут брутить (долбить) мама не горюй :)
И, ЧСХ, в том же МС Скуле нет никакой штатной настройки-защиты от брута.

(1) а виртуальную машину есть смысл поднимать? Ведь если все равно внутреннюю сеть разломают, то и хостовой машине конец.

(2) Все могут. Даже если совсем запретишь виртуальной машине доступ к хостовой ОС по сети. Нам же не видно отсюда, как ПО написано и что там оно может делать, если знать его уязвимость.

(3) Понятно, что теоретически можно все. Вопрос в том, что есть смысл на виртуальную машину трафик пробрасывать? Уменьшит ли это вероятность получить петю и форматирование дисков?

Чтобы поиграться с веб-сервером может купить vps за малые деньги и не парить себе мозг петями-васями

(5) да у меня был домен с арендованым хостом, не интересно. Хочу приключений.

хочу подключатся по rdp, хочу по вывешивать 1С.

(7) Как это желание противоречит (5)?

(8) ну и как я тебе на чужой сервак ло..кхе-кхе одинэс поставлю?

Я может хочу стать крутым одинэсником админом. да и зачем мне сервер в аренду на месяц на год? Я один раз 100 рублей заплачу провайдеру, месяц поиграюсь в админы и снесу все к черту.

(9) Да все что угодно поставишь. Можешь даже 1С:Наркокартель поставить и вести учет клиентов
(10) Так же заплатишь за аренду, и тихо свалишь

(0) Тебе скорее WiFi сеть расковыряют.

(12) ну расковыряют, максимум это пароль от вайфая получат и доступ в халявный интернет.  Хотя это можно пресечь сменив пароль "админ админ" и прописать мак адреса устройств которые к этому вайфаю подключаться будут. Но мне, что то лень.

(0) настроить брандмауэр, изменить стандартный порт 3389, список разрешенных IP не предлагать?

Может не в тему, но все же про безопасность в сети:
https://blog.kaspersky.ru/findface-experiment/11671/

(13) Смотря с какой целью это сделают - при желании вытащат вообще все, что вводили в браузер.

Если выставишь голый сервак в инет по всем портам то разломают мгновенно!

Если только RDP выставить то пару-тройку месяцев может и проживет.

Выставляй только VPN порт с приличным протоколом... Ну или  HTTP(S) тоже правильно

(14) "настроить брандмауэр" ну мы как бы про это и собрались поговорить. Вопрос только, где и как. Вот в данном примере их будет 3. Один в роутере, другой в хостовой винде, третий в виртуал боксе в виндовс 2008 она же веб сервер апач. Список разрешенных ип - это скучно и не интересно и не удобно. Потому как сам можешь заходить с разных мест с разных ип. RDP  я если и собирался выставлять то только через open vpn.

(17)+ самое обидное когда эти гады при ломке тебе канал весь забивают...

+(18) хотя знаю кучу контор, которые держат выставленные RDP в сеть круглогодично.

(20) ну это их проблемы что они свой сервак в ботнет отдали

в общем я так понял, если все сделаю как описана в субже, то разломать хост машину будет не так то и просто. Если открыть только 80 порт и поставить последний апач, то сначала нужно будет разломать апач. Потом разломать виндовс 2008, потом разломать сеть, потом разломать виндовс 10 и только потом форматировать диски.

(22) Угу главное на роутере не DMZ делай (на 192.168.1.3) а только 80 порт в переадресации открывай

(23) Кстати прочий внешний трафик с кроме 80 убери с роутера, можно сделать DMZ в несуществующий IP или запретить.
Чтобы роутер не ломанули по белому то IP (это сча любят ибо у производителей куча багов в прошивках всплыли). Кста пинг снаружи запрети тоже лучще.

(22) самое сложное - разломать апач. Для этого надо либо найти, либо воспользоваться известной уязвимостью, и задействовать ее - достаточно сложная задача, потому что апач писался именно для того чтобы работать с большим количеством сетевых пользователей, в том числе и недобросовестных, и писали его совсем не дураки. А вот если все-таки удастся на машине запустить свой код с правами системы - все остальное делается довольно просто.

"третий в виртуал боксе в виндовс 2008 она же веб сервер апач" // Для более глубоких (познавательных) экспериментов рекомендую разнести веб-сервер и сервер 1С

>пробросить его на 192.168.1.3.
Пробрасывай только нужные порты, нет смысла пробрасывать целиком IP.

>На самом деле провайдер просто порты откроет.
Это как?

>мне разломают windows 2008, потом разломают домашнюю сеть, через нее залезут на хост и ее тоже разломают.
Очень маловероятно.

>Все винды то без заплаток, обновлений и антивирусов, по известным причинам.
Заплатки и обновления нормально ставятся даже сизвестными причинами.

>Теперь я очкую у провайдера белый ип покупать.
Не стоит, нормально все будет. Но все же забывай делать бекапы важных данных на внешний носитель.

(27) >На самом деле провайдер просто порты откроет.
есть провы которые держат закрытыми все порты кроме 80 и почтовых на вход-выход. Иногда за открытие портов берут плату, либо снимают полностью фильтрацию трафика пугая (0) зловредами; ну и ведутся люди на пугалочки.

(0) >сначала мне разломают windows 2008, потом разломают домашнюю сеть, через нее залезут на хост и ее тоже разломают.

Не совсем так. Сначала разломают роутер и сделают его частью DDoS ботнета. А далее по списку.

>Все винды то без заплаток, обновлений и антивирусов, по известным причинам.
(13) >пароль "админ админ"
(6) >Хочу приключений.

Тогда вперед, и прочь сомненья! Не слушай никого, тем более дилетантов с Мисты.

(29) У меня есть сомнения что это запросто можно сделать с любым роутером, особенно если у него отключена возможность администирования из WAN. Я понимаю, что могут быть дырявые прошивки, но производители в таком случае вряд ли будут сидеть сложа руки и ничего не исправлять. Пока все случаи взлома роутеров про которые я слышал - хреновый пароль и включенная возможность администрирования. Ни разу не слышал чтобы ломали через дыру в прошивке. А чаще ломают через Wi-Fi.

(21) Весь виндовый VDS один сплошной ботнет? Его довольно много на рынке предлагают, народ использует.

(30) >Я понимаю, что могут быть дырявые прошивки, но производители в таком случае вряд ли будут сидеть сложа руки и ничего не исправлять.

Ты не поверишь...

>Ни разу не слышал чтобы ломали через дыру в прошивке.

Значит не интересовался. Почитай про ботнет Mirai, из последнего.

(32) прочитал. Про роутеры ни слова не увидел.

(33) Роутеров там мало, но история с ними точно такая же.

Если интересно покопаться, вот: https://www.exploit-db.com/
Поищи там свои железки.

(34) про свои актуального не нашел ничего. Из старого кое-что было, исправлено в 2011 году.

(0) админ прав

(18) по большому счету достаточно правильно настроить брандмауэр на роутере, для всего остального как правило хватает антивируса и ограничения прав простых пользователей

я тут с брандмауэрами поигрался. при включении общественных сетей, хост компьютер даже пинговаться из виртуалки перестает. Я хз как это разломать. надо быть хакером от бога. Чтобы сначала в апач дыру найти, потом залезть на гостевую ОС и оттуда как то пробиться на хостовую машину, которая вообще все запросы на ..й посылает.

у меня дома тоже статика. проброшен нестандартный порт на РДП. И в файрволе прописано с какого ип разрешено подключение по рдп.

>мне разломают windows 2008, потом разломают домашнюю сеть, через нее залезут на хост и ее тоже разломают.

почему все так уверенны в своей важности? кому надо вас ломать? да ещё так изощрённо? Для таго чтоб поиграться статический ип вообще не нужен

(39) "в файрволе прописано с какого ип разрешено подключение по рдп" // Но если этот ИП поменяется, то ты обломаешься с подключением по РДП туда, так что ли выходит?

(40) ботнетам важен любой комп, любой девайс :) они приносят деньги. Больше поломанных девайсов - больше денег. Без разница - домашний ли это роутер или ноут домохозяйки, или суперсервер крупной конторы. Ботнетам пофиг.

В работе придерживаюсь следующих принципов:
Подключаясь к сети интернет - забудьте про свою защищенность.
Чем круче замок - тем бОльший соблазн его взломать (не взломают, так испортят, что и сам не войдешь).
Ну и как поют мои земляки "Если к сердцу дверь закрыта - нужно в печень постучаться" :)

А если поменять порт рдп? скажем на 20 000

(44) Защита от "дураков". Серьезным ребятам это обойти как "два пальца об асфальт", перебрать открытые порты, причем сразу начиная с открытого стандартного 80.

(42) про любой девайс это больше теория, на практике ломают то что а) более распространено б) легче ломается. Про ботнет из кисок как-то слышать не приходилось :)

(0) он не рассказал, как разломают?

(45) Ну, на самом деле это должны быть очень неленивые ребята, у которых есть "фас" на вас лично. Потому как попытка коннекта на все несколько десятков тысяч портов, да еще и по TCP и UDP, т.е. несколько десятков тысяч помножить на два - дело даже в локалке довольно небыстрое и ресурсозатратное. А ведь еще многие фаеры распознают эту манипуляцию и после энного числа попыток установки соединения банят соответствующий IP...

на практике же, насколько я могу судить по логам своего фаера - долбятся обычно на распространенные порты - SSH, службы терминалов, телнет и т.д. На удачу.