Имя: Пароль:
IT
Админ
Беседы про безопасность сети.
, , ,
0 Фифс елемент
 
01.07.17
19:58
Есть домашняя сеть. Роутер Асус с адресом 192.168.1.1, есть машина с windows 10 подключенная по вайфай к роутеру с адресом 192.168.1.2, на ней стоит virtual box с windows 2008 с адресом 192.168.1.3. Хочу купить у провайдера белый постоянный адрес и пробросить его на 192.168.1.3. На самом деле провайдер просто порты откроет. Чтобы поиграться со своим веб сервером на windows 2008. Тут мне все ясно, ну если ошибусь то просто все работать будет, вопрос не про веб сервер и проброс портов.

В общем, админ на работе меня напугал, что как только я сделаю себе белый ип и провайдер откроет весь входящий трафик, то сначала мне разломают windows 2008, потом разломают домашнюю сеть, через нее залезут на хост и ее тоже разломают. Теперь я очкую у провайдера белый ип покупать. Все винды то без заплаток, обновлений и антивирусов, по известным причинам.

Что и как  мне настроить на роутере или еще где, чтобы этого не произошло? И вообще на сколько это оправдано, ведь я пробрасывать буду только 80 порт. Могут ли мне через 80 порт веб сервера, через апач установленной на виртуальной машине разломать мне хост машину?
1 Cyberhawk
 
01.07.17
20:01
Могут, но вероятность этого довольно низка.
Зато вот выстави МС Скуль или РДП наружу и посмотри в логах - будут брутить (долбить) мама не горюй :)
И, ЧСХ, в том же МС Скуле нет никакой штатной настройки-защиты от брута.
2 Фифс елемент
 
01.07.17
20:03
(1) а виртуальную машину есть смысл поднимать? Ведь если все равно внутреннюю сеть разломают, то и хостовой машине конец.
3 Cyberhawk
 
01.07.17
20:12
(2) Все могут. Даже если совсем запретишь виртуальной машине доступ к хостовой ОС по сети. Нам же не видно отсюда, как ПО написано и что там оно может делать, если знать его уязвимость.
4 Фифс елемент
 
01.07.17
20:19
(3) Понятно, что теоретически можно все. Вопрос в том, что есть смысл на виртуальную машину трафик пробрасывать? Уменьшит ли это вероятность получить петю и форматирование дисков?
5 Asmody
 
01.07.17
20:33
Чтобы поиграться с веб-сервером может купить vps за малые деньги и не парить себе мозг петями-васями
6 Фифс елемент
 
01.07.17
20:35
(5) да у меня был домен с арендованым хостом, не интересно. Хочу приключений.
7 Фифс елемент
 
01.07.17
20:36
хочу подключатся по rdp, хочу по вывешивать 1С.
8 Amra
 
01.07.17
20:42
(7) Как это желание противоречит (5)?
9 Фифс елемент
 
01.07.17
20:47
(8) ну и как я тебе на чужой сервак ло..кхе-кхе одинэс поставлю?
10 Фифс елемент
 
01.07.17
20:49
Я может хочу стать крутым одинэсником админом. да и зачем мне сервер в аренду на месяц на год? Я один раз 100 рублей заплачу провайдеру, месяц поиграюсь в админы и снесу все к черту.
11 Amra
 
01.07.17
20:53
(9) Да все что угодно поставишь. Можешь даже 1С:Наркокартель поставить и вести учет клиентов
(10) Так же заплатишь за аренду, и тихо свалишь
12 Zamestas
 
01.07.17
21:49
(0) Тебе скорее WiFi сеть расковыряют.
13 Фифс елемент
 
01.07.17
22:11
(12) ну расковыряют, максимум это пароль от вайфая получат и доступ в халявный интернет.  Хотя это можно пресечь сменив пароль "админ админ" и прописать мак адреса устройств которые к этому вайфаю подключаться будут. Но мне, что то лень.
14 SeriyP
 
01.07.17
22:24
(0) настроить брандмауэр, изменить стандартный порт 3389, список разрешенных IP не предлагать?
15 vadim777
 
01.07.17
22:30
Может не в тему, но все же про безопасность в сети:
https://blog.kaspersky.ru/findface-experiment/11671/
16 Zamestas
 
01.07.17
22:41
(13) Смотря с какой целью это сделают - при желании вытащат вообще все, что вводили в браузер.
17 Garykom
 
гуру
01.07.17
22:41
Если выставишь голый сервак в инет по всем портам то разломают мгновенно!

Если только RDP выставить то пару-тройку месяцев может и проживет.

Выставляй только VPN порт с приличным протоколом... Ну или  HTTP(S) тоже правильно
18 Фифс елемент
 
01.07.17
22:44
(14) "настроить брандмауэр" ну мы как бы про это и собрались поговорить. Вопрос только, где и как. Вот в данном примере их будет 3. Один в роутере, другой в хостовой винде, третий в виртуал боксе в виндовс 2008 она же веб сервер апач. Список разрешенных ип - это скучно и не интересно и не удобно. Потому как сам можешь заходить с разных мест с разных ип. RDP  я если и собирался выставлять то только через open vpn.
19 Garykom
 
гуру
01.07.17
22:46
(17)+ самое обидное когда эти гады при ломке тебе канал весь забивают...
20 Фифс елемент
 
01.07.17
22:47
+(18) хотя знаю кучу контор, которые держат выставленные RDP в сеть круглогодично.
21 Garykom
 
гуру
01.07.17
22:48
(20) ну это их проблемы что они свой сервак в ботнет отдали
22 Фифс елемент
 
01.07.17
23:09
в общем я так понял, если все сделаю как описана в субже, то разломать хост машину будет не так то и просто. Если открыть только 80 порт и поставить последний апач, то сначала нужно будет разломать апач. Потом разломать виндовс 2008, потом разломать сеть, потом разломать виндовс 10 и только потом форматировать диски.
23 Garykom
 
гуру
01.07.17
23:12
(22) Угу главное на роутере не DMZ делай (на 192.168.1.3) а только 80 порт в переадресации открывай
24 Garykom
 
гуру
01.07.17
23:14
(23) Кстати прочий внешний трафик с кроме 80 убери с роутера, можно сделать DMZ в несуществующий IP или запретить.
Чтобы роутер не ломанули по белому то IP (это сча любят ибо у производителей куча багов в прошивках всплыли). Кста пинг снаружи запрети тоже лучще.
25 NorthWind
 
02.07.17
08:03
(22) самое сложное - разломать апач. Для этого надо либо найти, либо воспользоваться известной уязвимостью, и задействовать ее - достаточно сложная задача, потому что апач писался именно для того чтобы работать с большим количеством сетевых пользователей, в том числе и недобросовестных, и писали его совсем не дураки. А вот если все-таки удастся на машине запустить свой код с правами системы - все остальное делается довольно просто.
26 Cyberhawk
 
02.07.17
08:38
"третий в виртуал боксе в виндовс 2008 она же веб сервер апач" // Для более глубоких (познавательных) экспериментов рекомендую разнести веб-сервер и сервер 1С
27 Ufo_Attack
 
02.07.17
11:07
>пробросить его на 192.168.1.3.
Пробрасывай только нужные порты, нет смысла пробрасывать целиком IP.

>На самом деле провайдер просто порты откроет.
Это как?

>мне разломают windows 2008, потом разломают домашнюю сеть, через нее залезут на хост и ее тоже разломают.
Очень маловероятно.

>Все винды то без заплаток, обновлений и антивирусов, по известным причинам.
Заплатки и обновления нормально ставятся даже сизвестными причинами.

>Теперь я очкую у провайдера белый ип покупать.
Не стоит, нормально все будет. Но все же забывай делать бекапы важных данных на внешний носитель.
28 Смотрящий
 
02.07.17
11:58
(27) >На самом деле провайдер просто порты откроет.
есть провы которые держат закрытыми все порты кроме 80 и почтовых на вход-выход. Иногда за открытие портов берут плату, либо снимают полностью фильтрацию трафика пугая (0) зловредами; ну и ведутся люди на пугалочки.
29 mistеr
 
02.07.17
12:21
(0) >сначала мне разломают windows 2008, потом разломают домашнюю сеть, через нее залезут на хост и ее тоже разломают.

Не совсем так. Сначала разломают роутер и сделают его частью DDoS ботнета. А далее по списку.

>Все винды то без заплаток, обновлений и антивирусов, по известным причинам.
(13) >пароль "админ админ"
(6) >Хочу приключений.

Тогда вперед, и прочь сомненья! Не слушай никого, тем более дилетантов с Мисты.
30 NorthWind
 
02.07.17
14:05
(29) У меня есть сомнения что это запросто можно сделать с любым роутером, особенно если у него отключена возможность администирования из WAN. Я понимаю, что могут быть дырявые прошивки, но производители в таком случае вряд ли будут сидеть сложа руки и ничего не исправлять. Пока все случаи взлома роутеров про которые я слышал - хреновый пароль и включенная возможность администрирования. Ни разу не слышал чтобы ломали через дыру в прошивке. А чаще ломают через Wi-Fi.
31 NorthWind
 
02.07.17
14:11
(21) Весь виндовый VDS один сплошной ботнет? Его довольно много на рынке предлагают, народ использует.
32 mistеr
 
02.07.17
14:34
(30) >Я понимаю, что могут быть дырявые прошивки, но производители в таком случае вряд ли будут сидеть сложа руки и ничего не исправлять.

Ты не поверишь...

>Ни разу не слышал чтобы ломали через дыру в прошивке.

Значит не интересовался. Почитай про ботнет Mirai, из последнего.
33 NorthWind
 
02.07.17
17:54
(32) прочитал. Про роутеры ни слова не увидел.
34 mistеr
 
02.07.17
18:40
(33) Роутеров там мало, но история с ними точно такая же.

Если интересно покопаться, вот: https://www.exploit-db.com/
Поищи там свои железки.
35 NorthWind
 
02.07.17
19:22
(34) про свои актуального не нашел ничего. Из старого кое-что было, исправлено в 2011 году.
36 Дарлок
 
02.07.17
20:37
(0) админ прав
37 SeriyP
 
02.07.17
22:01
(18) по большому счету достаточно правильно настроить брандмауэр на роутере, для всего остального как правило хватает антивируса и ограничения прав простых пользователей
38 Фифс елемент
 
02.07.17
23:15
я тут с брандмауэрами поигрался. при включении общественных сетей, хост компьютер даже пинговаться из виртуалки перестает. Я хз как это разломать. надо быть хакером от бога. Чтобы сначала в апач дыру найти, потом залезть на гостевую ОС и оттуда как то пробиться на хостовую машину, которая вообще все запросы на ..й посылает.
39 Silence63
 
03.07.17
07:07
у меня дома тоже статика. проброшен нестандартный порт на РДП. И в файрволе прописано с какого ип разрешено подключение по рдп.
40 ssz84
 
04.07.17
15:40
>мне разломают windows 2008, потом разломают домашнюю сеть, через нее залезут на хост и ее тоже разломают.

почему все так уверенны в своей важности? кому надо вас ломать? да ещё так изощрённо? Для таго чтоб поиграться статический ип вообще не нужен
41 Cyberhawk
 
04.07.17
15:46
(39) "в файрволе прописано с какого ип разрешено подключение по рдп" // Но если этот ИП поменяется, то ты обломаешься с подключением по РДП туда, так что ли выходит?
42 Exec
 
04.07.17
16:11
(40) ботнетам важен любой комп, любой девайс :) они приносят деньги. Больше поломанных девайсов - больше денег. Без разница - домашний ли это роутер или ноут домохозяйки, или суперсервер крупной конторы. Ботнетам пофиг.
43 Trimax
 
04.07.17
16:21
В работе придерживаюсь следующих принципов:
Подключаясь к сети интернет - забудьте про свою защищенность.
Чем круче замок - тем бОльший соблазн его взломать (не взломают, так испортят, что и сам не войдешь).
Ну и как поют мои земляки "Если к сердцу дверь закрыта - нужно в печень постучаться" :)
44 Вафель
 
04.07.17
16:24
А если поменять порт рдп? скажем на 20 000
45 Trimax
 
04.07.17
16:32
(44) Защита от "дураков". Серьезным ребятам это обойти как "два пальца об асфальт", перебрать открытые порты, причем сразу начиная с открытого стандартного 80.
46 NorthWind
 
05.07.17
06:32
(42) про любой девайс это больше теория, на практике ломают то что а) более распространено б) легче ломается. Про ботнет из кисок как-то слышать не приходилось :)
47 zak555
 
05.07.17
07:48
(0) он не рассказал, как разломают?
48 NorthWind
 
05.07.17
09:48
(45) Ну, на самом деле это должны быть очень неленивые ребята, у которых есть "фас" на вас лично. Потому как попытка коннекта на все несколько десятков тысяч портов, да еще и по TCP и UDP, т.е. несколько десятков тысяч помножить на два - дело даже в локалке довольно небыстрое и ресурсозатратное. А ведь еще многие фаеры распознают эту манипуляцию и после энного числа попыток установки соединения банят соответствующий IP...
49 NorthWind
 
05.07.17
09:51
на практике же, насколько я могу судить по логам своего фаера - долбятся обычно на распространенные порты - SSH, службы терминалов, телнет и т.д. На удачу.
Здесь можно обсудить любую тему при этом оставаясь на форуме для 1Сников, который нужен для работы. Ymryn