Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
TS 09.04.03 14:07 Число просмотров: 1224
Автор: Zlobnui_Mydak[HitU] <Pr3DV+0Я> Статус: Member
|
> Короче, задача была такая: для задач администрирования > необходимо находиться за ФВ, в "открытом Инете", в то же > время мне для работы нужен достум к дискам и принтерам в > локалке. > > Сделал так: воткнул 2 карты, на наружную поставил только IP > (ни каких сервисов), на внудренней НетБИО и Доступ, но без > IP. > > Насколько безопасна такая конфигурация? Кто знает, нет ли > известных "дыр", позволяющих подключиться через наружный > интерфейс по НетБИО? имхо проще всего заинсталлить TerminalService и фаерволом закрыть ВСЕ порты внешнего интерфкйса, кроме порта TS(3389)
|
<networking>
|
2 интерфейса в w2k AS один - наружу, др. внутрь сети 09.04.03 05:08
Автор: Zef <Alloo Zef> Статус: Elderman
|
Короче, задача была такая: для задач администрирования необходимо находиться за ФВ, в "открытом Инете", в то же время мне для работы нужен достум к дискам и принтерам в локалке.
Сделал так: воткнул 2 карты, на наружную поставил только IP (ни каких сервисов), на внудренней НетБИО и Доступ, но без IP.
Насколько безопасна такая конфигурация? Кто знает, нет ли известных "дыр", позволяющих подключиться через наружный интерфейс по НетБИО?
|
|
TS 09.04.03 14:07
Автор: Zlobnui_Mydak[HitU] <Pr3DV+0Я> Статус: Member
|
> Короче, задача была такая: для задач администрирования > необходимо находиться за ФВ, в "открытом Инете", в то же > время мне для работы нужен достум к дискам и принтерам в > локалке. > > Сделал так: воткнул 2 карты, на наружную поставил только IP > (ни каких сервисов), на внудренней НетБИО и Доступ, но без > IP. > > Насколько безопасна такая конфигурация? Кто знает, нет ли > известных "дыр", позволяющих подключиться через наружный > интерфейс по НетБИО? имхо проще всего заинсталлить TerminalService и фаерволом закрыть ВСЕ порты внешнего интерфкйса, кроме порта TS(3389)
|
| |
VPN 09.04.03 16:45
Автор: Woonder <Бученков Андрей> Статус: Member
|
Ещё можно поставить RAS сервер для VPN доступа, и на внешнем интерфейсе закрыть все порты, кроме VPN (не помню номера портов), но номер протокола 47 (PPTP).
|
| | |
Извиняюсь, я же не спрашивал, "как защитить", 10.04.03 03:12
Автор: Zef <Alloo Zef> Статус: Elderman
|
просто у Мелкософта всегда так: "На заборе написано Х.. , а на самом деле, там дрова лежат..."
Написано " нетБИО выкл.", а на самом деле, может 139й открыт, и к нему цепляться можно?
|
| | | |
Так проскань его снаружи и всё ясно встанет. 10.04.03 21:13
Автор: babay <Andrey Babkin> Статус: Elderman
|
> просто у Мелкософта всегда так: "На заборе написано Х.. , а > на самом деле, там дрова лежат..." > > Написано " нетБИО выкл.", а на самом деле, может 139й > открыт, и к нему цепляться можно?
Сабж...
Если сервак рабочий, т.е. для внутренних нужд конторы (шары, принтеры, бэкап, БД и т.д.), то нефига из него городить своего рода бордер гетавэй, могут из нутри сетки воспользоваться вирусняк, злой умысел или ещё чего.
Если он и так стоит в DMZ - то всё вроде правильно, только клиента всё-же надо, поставь radmin или tserver, только трафик надо шифровать, а если GUI вообще не впились - терминал под ssh.
|
| | | |
Извиняюсь, я же не спрашивал, "как защитить", 10.04.03 18:50
Автор: Woonder <Бученков Андрей> Статус: Member
|
> Написано " нетБИО выкл.", а на самом деле, может 139й > открыт, и к нему цепляться можно?
Доверяй но проверяй .....
А без защиты никуды.
В принципе твой комп можно использовать и как плацдарм для атак внутрь и как маршрутизатор во внутрь. Смотря как и что у тебя на сервере установлено и как построена защита, а для проникновения внутрь NetBIOS и не нужен, так что неважно включен от у тебя на внутреннем интерфейсе или выключен.
Если тебе нужен ответ по существу, то по NetBIOS враг не пролезет.
Отключай его, но проверь порты на всяк случай :)
|
| | | | |
Не сервак ето, тача моя рабочая, 11.04.03 05:39
Автор: Zef <Alloo Zef> Статус: Elderman
|
с которой я должен админить серваки и роутеры в "открытом" Интернете и одновременно печатать на принтере и обмениваться файлами со станциями, находяхимися в локалке за файрволом. Причем локалка и ФВ - "не мои". У меня нет рута на файрвольный сервак, чтобы настроить в нем для себя "лаз" наружу, для администрирования Инета, или внутрь для доступа к данным, и брать на себя этот геморрой я не хочу.
Если я буду сканить эту тачу и не обнаружу уязвимости, это будет только означать, что я не знаю, как ее взломать, или сканер "не знает такой уязвимости". Меня же интересует, уважаемые коллеги, Ваша экспертная оценка, не повышает ли уязвимость со стороны внешнего IP-шного интерфейса, наличие другого, физически недоступного "снаружи" интерфейса под НетБИО.
Ну да, судя по тому, что никто меня пока носом не ткнул, и не заорал: "Казимир, что ты делаешь, могут быть и дети!" - все в порядке.
|
|
|