Delta213

Сисадмины есть?

Рекомендуемые сообщения

Для одной задачки я собрал Windows Server 2022 Standard Гейм эдишн, задача была стабильная и максимально облегченная система. В гейм эдишн уже много чего было выпилено, и я еще до кучи отключил дефендер, УАК, брандмауэр, обновлялки, короче всё до чего дотянулись мои шаловливые ручки. Сервачёк крутится в домашней сети и теоретически интернета не видит, хотя тут у меня есть сомнения. На нем взведен RDP, я по нему захожу, вот в плане безопасности, которой теперь в принципе нет, это опасно? Настройки сетевой в картинке, этого достаточно чтобы сервак инета не видел, но главное чтобы его из сети видно не было? Если я RDP отключу и поставлю радмин, с безопасностью получше будет?

 

88.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Delta213 сказал:

Для одной задачки я собрал Windows Server 2022 Standard Гейм эдишн, задача была стабильная и максимально облегченная система. В гейм эдишн уже много чего было выпилено, и я еще до кучи отключил дефендер, УАК, брандмауэр, обновлялки, короче всё до чего дотянулись мои шаловливые ручки. Сервачёк крутится в домашней сети и теоретически интернета не видит, хотя тут у меня есть сомнения. На нем взведен RDP, я по нему захожу, вот в плане безопасности, которой теперь в принципе нет, это опасно? Настройки сетевой в картинке, этого достаточно чтобы сервак инета не видел, но главное чтобы его из сети видно не было? Если я RDP отключу и поставлю радмин, с безопасностью получше будет?

 

88.png

Если нет теоретического доступа ни к одной машине, роутеру и телефону в подсети то вполне безопасно. 

IPv6 ты же отключил, да?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, Delta213 сказал:

Если я RDP отключу и поставлю радмин, с безопасностью получше будет?

 

88.png

Нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Безопасно только впн. Всё остальное дыры. На р-админ раньше антивирусы матерились, давно им не пользовался 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@Медоед 

ну да, по диагонали просто прочёл. Тогда RDP без проброса наружу не должен представлять опасности, по идее. Но сейчас такие времена, что и в линухах находятся уязвимости.

И опять таки если на машине ничего важного не хранится, не совершаются важные операции стоит ли сильно волноваться о безопасности? Настроил как надо, слил образ акронисом (любым другим привычным софтом) и е**ь оно конём, как говорится 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Надеюсь, вопрос безопасности возник из-за того, что на том серваке хранятся ключи к биткоин-кошелькам, иначе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, dr.Evil сказал:

И опять таки если на машине ничего важного не хранится, не совершаются важные операции стоит ли сильно волноваться о безопасности?

 

Давно дело было, примерно между 2003 и 2008 годом, кто помнит в то время в крупных магазинах сидел сонм кредитников с разных банков. И вот меня, в одном таком магазине, попросили развести им всем интернет с одной входной линии, роутеров тогда не было как класса, может и были, но дорогие циски, короче я сделал роутер на сервер2003, всем инет раздал, принтер итд, все работает, зашибись. После того как я уехал проработало ровно 20мин, а потом этот сервак задудосили и он упал. И вот тогда я понял банальную истину, если ты шаришься в инете с десктопа, то ты мало кого интересуешь, но как только в сеть выглянет сервак, его тут-же начинают ломать. Тогда, в 2003, я поставил фаервол коммодо, закрыл всё кроме фтп, смтп, поп3, хттп и всё наладилось. Может это у меня фантомная боль с того времени и сейчас все не так, хз, но рисковать не хочется. Еще раз, все встроенные защиты в серваке отключены! А RDP включен, а как известно через рдп и идет в основном взлом. В принципе если он от внешки изолирован, то ничего страшного, с него я никуда не могу зайти ни через днс, ни по ип. Внешнее ип у меня серое, могу я на этом успокоится и считать, что все норм?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
17 минут назад, Delta213 сказал:

 

Давно дело было, примерно между 2003 и 2008 годом, кто помнит в то время в крупных магазинах сидел сонм кредитников с разных банков. И вот меня, в одном таком магазине, попросили развести им всем интернет с одной входной линии, роутеров тогда не было как класса, может и были, но дорогие циски, короче я сделал роутер на сервер2003, всем инет раздал, принтер итд, все работает, зашибись. После того как я уехал проработало ровно 20мин, а потом этот сервак задудосили и он упал. И вот тогда я понял банальную истину, если ты шаришься в инете с десктопа, то ты мало кого интересуешь, но как только в сеть выглянет сервак, его тут-же начинают ломать. Тогда, в 2003, я поставил фаервол коммодо, закрыл всё кроме фтп, смтп, поп3, хттп и всё наладилось. Может это у меня фантомная боль с того времени и сейчас все не так, хз, но рисковать не хочется. Еще раз, все встроенные защиты в серваке отключены! А RDP включен, а как известно через рдп и идет в основном взлом. В принципе если он от внешки изолирован, то ничего страшного, с него я никуда не могу зайти ни через днс, ни по ип. Внешнее ип у меня серое, могу я на этом успокоится и считать, что все норм?

Нет, с появлением WebRTC/WebSocket и v8 любая страница или сайт открытый в локалке теоретически представляет из себя одну большую дыру. Любой сервис, например какой ни будь индексёр яндекса может быть подменен и вставлен код сканирующий всю локалку и в зависимости от открытых портов получить доступ например к твоему роутеру и открыть доступ из WAN или к серверу и поднять там ВПН куда надо, при этом не создавая дополнительного интерфейса. Ты с телефона даже это не заметишь и уж тем более не заметит Галя уборщица которой сказали пароль от вайфай.

Поэтому никаких паролей 12345 и Admin/Admin а так же тех что есть в нехитром словаре который можно легко найти в интернете.

 

https://incolumitas.com/2021/01/10/browser-based-port-scanning/

Вот например портсканер прямо из бровзера.

 

Ссылки по теме.

https://ru.wikipedia.org/wiki/V8_(движок_JavaScript)

https://ru.wikipedia.org/wiki/WebSocket

https://ru.wikipedia.org/wiki/WebRTC

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну а как его вычислить, ну да, можно ломануть какой-нибудь комп в сети, с него запустить снифер, просканировать ип, потом порты, но он у меня не пингуется, пинги по умолчанию в серверах отключены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Delta213 сказал:

Ну а как его вычислить, ну да, можно ломануть какой-нибудь комп в сети, с него запустить снифер, просканировать ип, потом порты, но он у меня не пингуется, пинги по умолчанию в серверах отключены.

Никто ничего не пингует. Это устаревшая тема. Сканер сети на js работает с подсетью 255 адресов секунд 5 и уж точно найдет там роутер с открытой вебмордой или что нибудь еще интересное. Другой вопрос что возможно не сможет подобрать пароль так как сделан под определенные роутеры позволяющие запускать например линукс на борту и откуда уже можно хорошо развернуться в атаке всей сети и соседних, а так же снифать весь трафик и вставлять туда все что угодно.

Так то РДПэха твоя конечно интересна всяким мамкиным майнерам и шифровальщикам, но не настолько как заполучить доступ в магистральную железку какой ни будь крупной организации.

Количество всяких сканеров и прочего добра растет с каждым днём и они давно встраиваются в мобильные приложения. Поэтому рекомендации те же, большие и сложные пароли, изолированные гостевые доступы, впн по ключам, и закрытые порты для всех кому не надо их видеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вся эта безопасность мнимая. Повторюсь что серьёзно озадачиваться вопросами безопасности надо в случае когда атака может привести к финансовым потерям или есть очень важные данные (тут лучше всего холодное хранение). Ну просто интересно и скилл повысить это тоже повод чтобы заморачиваться на всё это 

 

Ломаются роутеры, ломаются любые операционки, всё ломается.

Уязвимости во многих моделях сетевых принтеров HP позволяют удаленно выполнить код или приостановить работу устройства

 

З.Ы. Вот на днях у товарища телефон сам ночью активизировался и стал звонки международные совершать. Думаю правды он уже не сыщет, благо сумма ущерба не значительна 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

смотря какой софт поставишь. умный зловред с админскими правами (кряк с трояном) может сам нащупать выход в инет . дроппер перебирающие сетевые настройки можно и на виндовом cmd написать 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 23.04.2022 в 22:29, Delta213 сказал:

Если я RDP отключу и поставлю радмин, с безопасностью получше будет?

Тебе бы с IT - безопасниками пообщаться. Многие тебе скажут что стороннее ПО, создающее туннели или закрытые каналы связи - уже "кот в мешке", фиг знает как и через какие маршруты это проходит и нет ли пресловутого "человека посередине" между дистинэйшенами.

Если уж так сильно беспокоишься за безопасность, то купить и  поставить нормальный сетевой коммутатор, типа CISCO или на худой конец Mikrotik и самое Главное - Правильно его настроить! Правилами, исключениями, манглами можно закрыть то что не надо, и разрешить только то что надо тебе. Door-knocking опять же интересная штука и многое другое...

  "Но не все лишь могут это сделать ..." (Кличко) Нужен адекватный специалист для такого.

spacer.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я-же сразу сказал, мне нужна закрытая сеть, чтобы сервак интернета не видел, а внутри мне пох какие там каналы организуются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 23.04.2022 в 22:29, Delta213 сказал:

главное чтобы его из сети видно не было

при чем тут настройки сетевой карты. Файрвол настраивать надо. - который ты выключил.

куча портов в сеть орать будут .. Даже если не будут - мне всегда интересны тачки, которые делают вид, что их нет. Я не один такой, так что - любознательные люди присмотрятся. Хотя хз, что там ловить в сетке васипупкина.

однако, Судя по тому, что ты почти ничего не знаешь .... изучай базовые вещи хотя бы. 

В 23.04.2022 в 22:29, Delta213 сказал:

гейм эдишн уже много чего было выпилено, и я еще до кучи отключил дефендер, УАК, брандмауэр, обновлялки, короче всё до чего дотянулись мои шаловливые ручки

вот это всё ничего общего с вопросами безопасности не имеет (точнее - факт их отсутствия, и гейм эдишн туда же (фтопку)). 

Изменено пользователем scorcer

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 23.04.2022 в 22:29, Delta213 сказал:

теоретически интернета не видит

а интернет его видит? ))) это не одно и тоже.

короче, друг, читай от начала построения сетей.... и дальше в сторону сервисов и безопасности.

11 часов назад, Delta213 сказал:

мне нужна закрытая сеть, чтобы сервак интернета не видел,

ну и поставь  аппаратный роутер\файрвол\маршрутизатор (как хочешь называй) на нем запрещай все ,  кроме 1 порта, и тот нестандартный, который внутрь пробросишь на свой RDP.

так и рождаются кривые решения)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 30.04.2022 в 13:32, KPACAB4Er сказал:

купить и  поставить нормальный сетевой коммутатор, типа CISCO или на худой конец Mikrotik

dlink 300 руболевый с авито покатит))) Красавчег дело говорит, дай ему денег - он все грамотно сделает

 

 я чо подумал - осталось только гостевой вход с админскими правами разрешить и вообще огонь будет))) хотя похоже так и есть)))))

Изменено пользователем scorcer

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

8 минут назад, scorcer сказал:

а интернет его видит? ))) это не одно и тоже.

Скорее всего нет, по крайней мере я до своих открытых портов через интернет достучаться не могу, IP серый и порты не проброшены. Надо еще в роутере покопаться, может есть там отключение от WAN по маку. Просто МАС фильтр есть, не законектишся с левым МАС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, scorcer сказал:

dlink 300 руболевый с авито покатит))) Красавчег дело говорит, дай ему денег - он все грамотно сделает

Это был сарказм? ))) Д-линки 10 летней давности со стандартной прошивкой ломаются "мамкиными кулхакерами" как нефиг делать. Благо статей в интернете уже только ленивый не написал.

Тут весь вопрос в экономической целесообразности (ИТ-безопасность в целом на этом и строится) - если есть что терять и гипотетические потери существенны, то на безопасности не экономят. А если там ерунда какая, то смысл заморачиваться? Сделай образ системы и храни на отдельном сторэдже.

Да упустил момент, только сейчас вчитался. "Гейм эдишн" прям очень внушает доверие :lol: ! Что оттуда выпилили "добрые люди" и что туда наоборот "вписали" это ещё аукнется доверчивым юзерам. Я так одному товарищу с его компа вычищал майнер, вшитый в похожий образ, скачанный с просторов интернета. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, KPACAB4Er сказал:

Я так одному товарищу с его компа вычищал майнер, вшитый в похожий образ, скачанный с просторов интернета. :lol:

И этот майнер не грузил систему? И что он тогда там мог намайнить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
48 минут назад, Delta213 сказал:

И этот майнер не грузил систему? И что он тогда там мог намайнить?

Кто сказал что он не грузил систему? Ещё как грузил. Иначе бы его и не заметили. Прикол в том, что майнер был хитрый, включался не сразу а по определенным условиям, например при долгом отсутствии активности за компьютером. Те кто его прописал в систему, люди не глупые.

После его удаления из системы с помощью Касперского live-cd, он через несколько дней сам собой заново скачивался и устанавливался по скрипту. Помог только полный снос такой "гейм эдишен" системы и установка чистого образа лицензионной системы из репозитория Microsoft.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я ведь с самого начала сказал, что все что можно, включая все защиты были вырезаны из системы, не просто так наверное. И собственно вопрос был как этот комп изолировать от интернета, но без всяких микротиков, жуниперов и цисок. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, Delta213 сказал:

Я ведь с самого начала сказал, что все что можно, включая все защиты были вырезаны из системы, не просто так наверное. И собственно вопрос был как этот комп изолировать от интернета, но без всяких микротиков, жуниперов и цисок. 

Самый бюджетный способ - выдернуть патчкорд из сетевой карты. Защита 100%. :lol:

Вы или условия ТЗ правильно формулируйте, или не морочьте людям голову. Если ваших знаний не хватает, то приглашайте специалиста со стороны. Я вот за медицинской помощью обращаюсь к специалистам, самолечением не занимаюсь. с IT это тоже работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, KPACAB4Er сказал:

Самый бюджетный способ - выдернуть патчкорд из сетевой карты. Защита 100%. :lol:

Вы или условия ТЗ правильно формулируйте

Задача в первом посте, максимально ясно изложено, знаю я таких специалистов как максимально с клиента вытянуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединиться к общению

Вы можете написать сейчас, а зарегистрироваться потом. Если у Вас есть аккаунт, войдите, чтобы написать с него.

Гость
Ответить в этой теме...

×   Вы вставили контент с форматированием.   Удалить форматирование

  Разрешено использовать не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...