Победа разума

NailManNailMan

Вчера весь день на работе и весь вечер до 1ч ночи взрывал мозг настраивая VPN в домашнюю сетку. До этого еще полдня трахался с пониманием настройки сервера ВПН. За это время было понята работа iptables на роутере, подправлены косяки в скриптах фаервола. Итог - работает.

Цимус всего этого факинга проста и в тоже время многим непонятна - хочется иметь защищеный вход в локалку домашнюю из любой точки Вселенной. Компов в квартире много, многие выключены в рабочее время, кроме роутера и нового сервачка, потому достаточно нередко бывает необходимость включить комп удаленно, залезть на него по RDP и что-то там сделать или выложить на ФТП.

Сделать до сего момента это можно было зайдя на роутер по SSH, запустить там скрипт посылающий Magic Packet на целевой комп(пакеты ходят только в физической сети и через инет не проходят ибо не TCP/IP/UDP), и если тот включился(пинговать его надо) - закрыть сессию на роутер и лезть на открытый порт RDP для этого компа(он нада сказать левый и не стандартный конечно же). Проблемы в безопасности тут очевидны - надобность лишнего логина в центральное устройство-гейт и открытые порты для RDP, доступные(в случае включенности компа) для сканирования и атак.

Посему и было желание скрыть все это за VPN от всего сетевого народа, оставив для входа только порт VPN, порт SHH на роутер и сетевых сервисов(http, FTP), ну и возможно веб-морду роутера оставить также.

Теперь для входа нужно впн-клиент с ключами и программка WakeLAN. Коннектимся по ВПН -> получаем внутренний IP домашней сети, красиво и удобно запускаем с помощью WakeLAN нужный комп и коннектимся по внутреннему адресу же сразу на RDP. Никто этого извне не видит и неслышит, бо траффик шифруется. Безопасность страны сохранена.

Проблемами с которыми боролся были: необходимость работы как через простые каналы типа GPRS и жизненная необходимость чтобы порт VPN был именно 443(стандартный порт https), ибо прокси-серверы корпоративные на работе(обычно это ISA) пускают ВПН траф только по 443, но ни по какому другому порту, хотя например SSH легко идет на левый порт 😃. Однако же ВПН работал с GPRS(чистый канал) только на любой порт кроме 443, а через прокси вообще ни на какой.

Вечером уже после целого дня факинга я нашел причину почему такое имело место быть - Корбина(ныне Блевайн) по дефолту включает услугу фильтрации трафика от и к пользователю и блокирует некоторые порты включая и 443 на вход. Сделано это для нищебродов, которые коннектятся без роутера непосредственно в комп, коих наверно 90% всех пользователей Корбины.

Я это безобразие выключил в кабинете, отказавшись от услуги и усе заработало! Теперь 443 порт легко доступен и усе бегает как надо. Однако порт открыт на роутере, но внутри сетки ВПН работает по стандартному порту, ибо Апач на вебсервере где и ВПН крутится также его ловит как свой https. Но я в своем веб-сайте такие аццкие технологии как https не пользую, так что не огорчен.

Вобщем победа разума над техникой.

  • 1636
Tags:
Comments
akirill

А почему те, кто коннектится напрямую - нищеброды?

NailMan

Потому как не имеют каких то возможностей купить нормальный аппаратный фаервольчик за 100 баксов и не заражаться сетевыми червями через частично блокированный канал.😉 А то как заразится такой персонаж и вызывает мальчика за 50-100 баксов который ему выковыривает зверье из компа. Лучше бы роутер купил с фаерволом нормальным.

akirill
  1. Нормальных аппаратных файервольчиков за 100 баксов не бывает
  2. То, что продают даже за 250 баксов - откровенное говно, внушающее чувство ложной безопасности
  3. Откровенное говно выполняет функции маршрутизатора/моста/модема, а не файервола
  4. Выполняет оно (говно) эти задачи с приемлемым качеством на скоростях сильно ниже 100 мегабит. Как правило, пик производительности 30 МБит WAN<->LAN для наиболее распространенных моделей говна
  5. Все провайдеры без исключения фильтруют порты 137, 138, 139, 445, через которые распространялось то, что на самом деле называется червем
  6. Начиная с Windows XP SP2 и далее, по умолчанию включен штатный файервол, которого с головой хватает от вторжения извне
  7. От умников, запускающих исполняемые аттачменты, не спасет аппаратный файервольчик и за 100000 долларов

оставив для входа только … и сетевых сервисов(http, FTP), ну и возможно веб-морду роутера оставить также.

Оставив эти порты в доступе, Вы лишаете всякого смысла затею с ВПН по причине, что уязвимости, в том числе, удаленные, гораздо чаще (в сотни раз) находят в сервисах (http, FTP), ну и возможно веб-морду роутера, чем в RDP
На самом деле, лень разбирать весь пост. Поверьте, Вы занимались бесполезным делом, без всякого представления о предмете. Не пускает VPN через порт, отличный от 443? Поднимите РРТР.

NailMan
  1. Cisco за 3 килобакса домой ставить не с руки, да и не купить больше Циску ибо она свой бизнес в Раше почти закрыла с 1 января.
  2. Что значит эта риторическая фраза я не понял - нет критерий говенности. Цисковские Линксисы за 250 баксей тоже говно?
  3. роутер давно уже не просто роутер, даже у циски. Отдельные фаерволы аппараты несско для более сложных вещей, и зачастую еще и работающие как криптошлюзы. В рынке SOHO такое барахло не нужно и домашний роутер прекрасно совмещает функции точки, роутера, фаера и коммутатора на порядочном уровне.
    4-5. роутер имеет iptables ничуть не худший чем на любом большом и дорогом фаере. порты мелкого и мягкого(137, 138, 139, 445) закрыты у меня всегда и с корбиновской сетки успешно давятся вот уже 1.5 года. Скорость тырнета у меня и так 10.5мбит - мне большего и не нада, а домашние компа своими веревками включены в гигабитный свитч, как и роутер, так что 100мб роутеровых LAN-портов и не чувствуется.
  4. Этот фаер не может ничего кроме как следить за действиями пользователя(UAC) или программ. Нормально фаервол виндовый не работает по определению.
  5. Это согласен, но о них речи не идет. Понятно что вышел в Сеть - имей башку не запускать албанские вирусы.
  6. http мой не имеет консоли админа извне, попытки найти ее пока не пресекаются но будут сделаны в будущем. прочие возможности по заражению(точнее взлома) через http, пока рассматриваются к пресеканию. Попытки брутфорсинга FTP пресекаются мной написанным скриптом и выполняются на роутере(FTP поднят там) и прекрасно все работает(в смысле блокирует брутфрсеров). Там же включена защита от DDOS-атак.

Идея была в закрытии всего микрософтовского внутрь стакана.

akirill
NailMan;bt26897
  1. Cisco за 3 килобакса домой ставить не с руки

Смысла никакого в цисках дома нет, никакого дополнительного функционала они не привнесут для обывателя

NailMan;bt26897
  1. Что значит эта риторическая фраза я не понял - нет критерий говенности. Цисковские Линксисы за 250 баксей тоже говно?

Еще какое говно, я с ними прилично имел дело, в свое время. Строили тоннели для филиалов. Критерий говенности прост - соотношение цена/качество и соответствие заявленному функционалу.

NailMan;bt26897

В рынке SOHO такое барахло не нужно и домашний роутер прекрасно совмещает функции точки, роутера, фаера и коммутатора на порядочном уровне.

Порядочном для чего уровне? При наличии единственного компьютера эти девайся порядочно только карман разгружают, взамен нагружая мозги невнятным интерфейсом и нестабильной работой.

NailMan;bt26897

4-5. роутер имеет iptables ничуть не худший чем на любом большом и дорогом фаере. порты мелкого и мягкого(137, 138, 139, 445) закрыты у меня всегда и с корбиновской сетки успешно давятся вот уже 1.5 года.

Да какая разница. закрыты они у Вас. или нет. Суть в том, что любые расходы выше стоимости ОС неоправданы при фильтрации портов, по которым много-много лет назад расползались черви.

NailMan;bt26897

Скорость тырнета у меня и так 10.5мбит - мне большего и не нада

Ну а кому то не надо тратить деньги на бесполезные железки 😃

NailMan;bt26897
  1. Этот фаер не может ничего кроме как следить за действиями пользователя(UAC) или программ. Нормально фаервол виндовый не работает по определению.

Я Вас огорчу, этот фаер не следит вообще за уровнем приложений, не его это функции, он работает ниже. Виндовый файервол исключительно надежно фильтрует ВСЕ ВНЕШНИЕ атаки.

NailMan;bt26897
  1. http мой не имеет консоли админа извне, попытки найти ее пока не пресекаются но будут сделаны в будущем. прочие возможности по заражению(точнее взлома) через http, пока рассматриваются к пресеканию. Попытки брутфорсинга FTP пресекаются мной написанным скриптом и выполняются на роутере(FTP поднят там) и прекрасно все работает(в смысле блокирует брутфрсеров). Там же включена защита от DDOS-атак.

Какая еще защита от DDOS-атак на говнороутере? Вы издеваетесь?
FTP не брутфорсят, никому это не нужно, и админка никому не уперлась от IIS. Есть такая вещь, как удаленная атака, использующая дыры как на системном уровне, так и на прикладном.

NailMan;bt26897

Идея была в закрытии всего микрософтовского внутрь стакана.

Смысл то какой? Решение не стало более безопасным и функциональным.

lelik
akirill;bt26899

Какая еще защита от DDOS-атак на говнороутере? Вы издеваетесь?

Ну, на некоторых говноприборах, у которых унутре OpenWRT и производные, вполне себе можно замутить и нормальную защиту от DDOS и прочие вкусности. Только напильник надо поболее и бубен позвонче.

akirill
lelik;bt26900

Ну, на некоторых говноприборах, у которых унутре OpenWRT и производные, вполне себе можно замутить и нормальную защиту от DDOS и прочие вкусности. Только напильник надо поболее и бубен позвонче.

Могу предположить, что подохнет оно от даже не тысячи, а десятков запросов одновременно. Как можно построить DDOS-защиту на девайсе с недопроцессором и птичьими мощностями?

lelik
akirill;bt26901

Как можно построить DDOS-защиту на девайсе с недопроцессором и птичьими мощностями?

Построить-то можно, а вот работать не будет 😃

akirill
lelik;bt26903

Построить-то можно, а вот работать не будет 😃

Ну если только так 😃 Надо тогда себе в ASUS O!Play поставить защиту от DDOS

NailMan
akirill;bt26899

С
FTP не брутфорсят, никому это не нужно, и админка никому не уперлась от IIS. Есть такая вещь, как удаленная атака, использующая дыры как на системном уровне, так и на прикладном.

Показать логи? обычно каждые 2 сек попытка, и через ~2 минуты гад прекращает свой доступ ко мне по занесению его IP в iptables.

Смысл то какой? Решение не стало более безопасным и функциональным.

Решение стало удобным ибо теперь есть доступ к сетке домашней скажем с работы, чем я сегодня очень пользовался. Кроме того у меня ftp и http разделены и нужно иметь возможность обновлять/добавлять данные на сайте будучи не дома. ФТП на ХТТП-сервер прокладывать для одной этой функции бессмысленно, потому что 21 порт занят уже. А так я вошел в сетку, зашел на шару и залил на сайт что нужно.

akirill
NailMan;bt26906

Показать логи? обычно каждые 2 сек попытка, и через ~2 минуты гад прекращает свой доступ ко мне по занесению его IP в iptables.

А это не брутфорс, это просто боты проверяют на стандартные пароли. Логи мне показывать не надо, я их насмотрелся до тошноты в свое время. Самый простой способ избавиться от ботов, поставить порт ФТП выше 1024.

NailMan;bt26906

Решение стало удобным ибо теперь есть доступ к сетке домашней скажем с работы, чем я сегодня очень пользовался. Кроме того у меня ftp и http разделены и нужно иметь возможность обновлять/добавлять данные на сайте будучи не дома. ФТП на ХТТП-сервер прокладывать для одной этой функции бессмысленно, потому что 21 порт занят уже. А так я вошел в сетку, зашел на шару и залил на сайт что нужно.

Ну может оно и стало удобнее, не буду спорить. Но не стало безопаснее, и уж никак не объясняет, почему подключение напрямую к сети компьютера является нищебродством. Если надо копировать чего нибудь, пользуйтесь sftp. Это позволит избавиться от слабого звена в виде FTP. SSH тоже полезно на порт выше 1024 повесить.

NailMan

ftp отличный от 21 нельзя ибо на работе прокся на левые порты фтп не выпускает, также как и с ВПНом. А SSH у меня давно на левом порту >4000го как и морда роутера.
Тем более фтп и SSH только на роутере, на сервак ставить FTP/SFTP нет желания никакого. А на роутере ftpd уже встроен в прошивку и не поменяешь нам особенно ничего, внешнее ставить некомильфо, проще уж через ssh-туннель прокинуть тогда.

akirill
NailMan;bt26908

ftp отличный от 21 нельзя ибо на работе прокся на левые порты фтп не выпускает, также как и с ВПНом.

Лично я прописал бы ИП рабочие для стандартных портов с форвардом на нестандартные. А к нестандартным коннектился бы напрямую из других мест.

NailMan;bt26908

фтп и SSH только на роутере, на сервак ставить FTP/SFTP нет желания никакого.

SSH на сервер то много не съест.

NailMan
akirill;bt26909

Лично я прописал бы ИП рабочие для стандартных портов с форвардом на нестандартные. А к нестандартным коннектился бы напрямую из других мест.
SSH на сервер то много не съест.

Это становится уже неудобным.

сейчас все просто: 21 на самом роутере раскрыт, пробросов нет, 80 пробрасывается на 80 порт сервера напрямую, морда роутера на 2хххх порту назначена напрямую, 4ххх порт для SSH на роутере напрямую крутится, и там же 443 порт для VPN и все. Делать разные порты для одного айпи в целом можно руками, но выходит не очень понятно зачем.

SSH на сервер я как то ставил, точнее на домашний комп(когда сервер еще не купил) - чисто чтобы иметь возможность выключить комп с консоли без RDP, но столкнулся с рядом проблем чисто виндового характера и забил на сию идею. SSH годно работает тока на линуксе, а на сервер линь ставить я не буду ни при каких условиях.