информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Сетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Sophos открывает Sandboxie 
 Большой вторник патчей от MS 
 И ещё раз об интернет-голосовании 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
2 интерфейса в w2k AS один - наружу, др. внутрь сети 09.04.03 05:08  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Короче, задача была такая: для задач администрирования необходимо находиться за ФВ, в "открытом Инете", в то же время мне для работы нужен достум к дискам и принтерам в локалке.

Сделал так: воткнул 2 карты, на наружную поставил только IP (ни каких сервисов), на внудренней НетБИО и Доступ, но без IP.

Насколько безопасна такая конфигурация? Кто знает, нет ли известных "дыр", позволяющих подключиться через наружный интерфейс по НетБИО?
TS 09.04.03 14:07  
Автор: Zlobnui_Mydak[HitU] <Pr3DV+0Я> Статус: Member
<"чистая" ссылка>
> Короче, задача была такая: для задач администрирования
> необходимо находиться за ФВ, в "открытом Инете", в то же
> время мне для работы нужен достум к дискам и принтерам в
> локалке.
>
> Сделал так: воткнул 2 карты, на наружную поставил только IP
> (ни каких сервисов), на внудренней НетБИО и Доступ, но без
> IP.
>
> Насколько безопасна такая конфигурация? Кто знает, нет ли
> известных "дыр", позволяющих подключиться через наружный
> интерфейс по НетБИО?
имхо проще всего заинсталлить TerminalService и фаерволом закрыть ВСЕ порты внешнего интерфкйса, кроме порта TS(3389)
VPN 09.04.03 16:45  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
Ещё можно поставить RAS сервер для VPN доступа, и на внешнем интерфейсе закрыть все порты, кроме VPN (не помню номера портов), но номер протокола 47 (PPTP).
Извиняюсь, я же не спрашивал, "как защитить", 10.04.03 03:12  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
просто у Мелкософта всегда так: "На заборе написано Х.. , а на самом деле, там дрова лежат..."

Написано " нетБИО выкл.", а на самом деле, может 139й открыт, и к нему цепляться можно?
Так проскань его снаружи и всё ясно встанет. 10.04.03 21:13  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> просто у Мелкософта всегда так: "На заборе написано Х.. , а
> на самом деле, там дрова лежат..."
>
> Написано " нетБИО выкл.", а на самом деле, может 139й
> открыт, и к нему цепляться можно?

Сабж...
Если сервак рабочий, т.е. для внутренних нужд конторы (шары, принтеры, бэкап, БД и т.д.), то нефига из него городить своего рода бордер гетавэй, могут из нутри сетки воспользоваться вирусняк, злой умысел или ещё чего.
Если он и так стоит в DMZ - то всё вроде правильно, только клиента всё-же надо, поставь radmin или tserver, только трафик надо шифровать, а если GUI вообще не впились - терминал под ssh.
Извиняюсь, я же не спрашивал, "как защитить", 10.04.03 18:50  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
> Написано " нетБИО выкл.", а на самом деле, может 139й
> открыт, и к нему цепляться можно?

Доверяй но проверяй .....

А без защиты никуды.
В принципе твой комп можно использовать и как плацдарм для атак внутрь и как маршрутизатор во внутрь. Смотря как и что у тебя на сервере установлено и как построена защита, а для проникновения внутрь NetBIOS и не нужен, так что неважно включен от у тебя на внутреннем интерфейсе или выключен.
Если тебе нужен ответ по существу, то по NetBIOS враг не пролезет.
Отключай его, но проверь порты на всяк случай :)
Не сервак ето, тача моя рабочая, 11.04.03 05:39  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
с которой я должен админить серваки и роутеры в "открытом" Интернете и одновременно печатать на принтере и обмениваться файлами со станциями, находяхимися в локалке за файрволом. Причем локалка и ФВ - "не мои". У меня нет рута на файрвольный сервак, чтобы настроить в нем для себя "лаз" наружу, для администрирования Инета, или внутрь для доступа к данным, и брать на себя этот геморрой я не хочу.

Если я буду сканить эту тачу и не обнаружу уязвимости, это будет только означать, что я не знаю, как ее взломать, или сканер "не знает такой уязвимости". Меня же интересует, уважаемые коллеги, Ваша экспертная оценка, не повышает ли уязвимость со стороны внешнего IP-шного интерфейса, наличие другого, физически недоступного "снаружи" интерфейса под НетБИО.

Ну да, судя по тому, что никто меня пока носом не ткнул, и не заорал: "Казимир, что ты делаешь, могут быть и дети!" - все в порядке.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach