информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsЗа кого нас держат?Портрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Kik закрывается, все ушли на криптофронт 
 Sophos открывает Sandboxie 
 Большой вторник патчей от MS 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
TS 09.04.03 14:07  Число просмотров: 923
Автор: Zlobnui_Mydak[HitU] <Pr3DV+0Я> Статус: Member
<"чистая" ссылка>
> Короче, задача была такая: для задач администрирования
> необходимо находиться за ФВ, в "открытом Инете", в то же
> время мне для работы нужен достум к дискам и принтерам в
> локалке.
>
> Сделал так: воткнул 2 карты, на наружную поставил только IP
> (ни каких сервисов), на внудренней НетБИО и Доступ, но без
> IP.
>
> Насколько безопасна такая конфигурация? Кто знает, нет ли
> известных "дыр", позволяющих подключиться через наружный
> интерфейс по НетБИО?
имхо проще всего заинсталлить TerminalService и фаерволом закрыть ВСЕ порты внешнего интерфкйса, кроме порта TS(3389)
<networking>
2 интерфейса в w2k AS один - наружу, др. внутрь сети 09.04.03 05:08  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Короче, задача была такая: для задач администрирования необходимо находиться за ФВ, в "открытом Инете", в то же время мне для работы нужен достум к дискам и принтерам в локалке.

Сделал так: воткнул 2 карты, на наружную поставил только IP (ни каких сервисов), на внудренней НетБИО и Доступ, но без IP.

Насколько безопасна такая конфигурация? Кто знает, нет ли известных "дыр", позволяющих подключиться через наружный интерфейс по НетБИО?
TS 09.04.03 14:07  
Автор: Zlobnui_Mydak[HitU] <Pr3DV+0Я> Статус: Member
<"чистая" ссылка>
> Короче, задача была такая: для задач администрирования
> необходимо находиться за ФВ, в "открытом Инете", в то же
> время мне для работы нужен достум к дискам и принтерам в
> локалке.
>
> Сделал так: воткнул 2 карты, на наружную поставил только IP
> (ни каких сервисов), на внудренней НетБИО и Доступ, но без
> IP.
>
> Насколько безопасна такая конфигурация? Кто знает, нет ли
> известных "дыр", позволяющих подключиться через наружный
> интерфейс по НетБИО?
имхо проще всего заинсталлить TerminalService и фаерволом закрыть ВСЕ порты внешнего интерфкйса, кроме порта TS(3389)
VPN 09.04.03 16:45  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
Ещё можно поставить RAS сервер для VPN доступа, и на внешнем интерфейсе закрыть все порты, кроме VPN (не помню номера портов), но номер протокола 47 (PPTP).
Извиняюсь, я же не спрашивал, "как защитить", 10.04.03 03:12  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
просто у Мелкософта всегда так: "На заборе написано Х.. , а на самом деле, там дрова лежат..."

Написано " нетБИО выкл.", а на самом деле, может 139й открыт, и к нему цепляться можно?
Так проскань его снаружи и всё ясно встанет. 10.04.03 21:13  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> просто у Мелкософта всегда так: "На заборе написано Х.. , а
> на самом деле, там дрова лежат..."
>
> Написано " нетБИО выкл.", а на самом деле, может 139й
> открыт, и к нему цепляться можно?

Сабж...
Если сервак рабочий, т.е. для внутренних нужд конторы (шары, принтеры, бэкап, БД и т.д.), то нефига из него городить своего рода бордер гетавэй, могут из нутри сетки воспользоваться вирусняк, злой умысел или ещё чего.
Если он и так стоит в DMZ - то всё вроде правильно, только клиента всё-же надо, поставь radmin или tserver, только трафик надо шифровать, а если GUI вообще не впились - терминал под ssh.
Извиняюсь, я же не спрашивал, "как защитить", 10.04.03 18:50  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
> Написано " нетБИО выкл.", а на самом деле, может 139й
> открыт, и к нему цепляться можно?

Доверяй но проверяй .....

А без защиты никуды.
В принципе твой комп можно использовать и как плацдарм для атак внутрь и как маршрутизатор во внутрь. Смотря как и что у тебя на сервере установлено и как построена защита, а для проникновения внутрь NetBIOS и не нужен, так что неважно включен от у тебя на внутреннем интерфейсе или выключен.
Если тебе нужен ответ по существу, то по NetBIOS враг не пролезет.
Отключай его, но проверь порты на всяк случай :)
Не сервак ето, тача моя рабочая, 11.04.03 05:39  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
с которой я должен админить серваки и роутеры в "открытом" Интернете и одновременно печатать на принтере и обмениваться файлами со станциями, находяхимися в локалке за файрволом. Причем локалка и ФВ - "не мои". У меня нет рута на файрвольный сервак, чтобы настроить в нем для себя "лаз" наружу, для администрирования Инета, или внутрь для доступа к данным, и брать на себя этот геморрой я не хочу.

Если я буду сканить эту тачу и не обнаружу уязвимости, это будет только означать, что я не знаю, как ее взломать, или сканер "не знает такой уязвимости". Меня же интересует, уважаемые коллеги, Ваша экспертная оценка, не повышает ли уязвимость со стороны внешнего IP-шного интерфейса, наличие другого, физически недоступного "снаружи" интерфейса под НетБИО.

Ну да, судя по тому, что никто меня пока носом не ткнул, и не заорал: "Казимир, что ты делаешь, могут быть и дети!" - все в порядке.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach