с которой я должен админить серваки и роутеры в "открытом" Интернете и одновременно печатать на принтере и обмениваться файлами со станциями, находяхимися в локалке за файрволом. Причем локалка и ФВ - "не мои". У меня нет рута на файрвольный сервак, чтобы настроить в нем для себя "лаз" наружу, для администрирования Инета, или внутрь для доступа к данным, и брать на себя этот геморрой я не хочу.
Если я буду сканить эту тачу и не обнаружу уязвимости, это будет только означать, что я не знаю, как ее взломать, или сканер "не знает такой уязвимости". Меня же интересует, уважаемые коллеги, Ваша экспертная оценка, не повышает ли уязвимость со стороны внешнего IP-шного интерфейса, наличие другого, физически недоступного "снаружи" интерфейса под НетБИО.
Ну да, судя по тому, что никто меня пока носом не ткнул, и не заорал: "Казимир, что ты делаешь, могут быть и дети!" - все в порядке.
Короче, задача была такая: для задач администрирования необходимо находиться за ФВ, в "открытом Инете", в то же время мне для работы нужен достум к дискам и принтерам в локалке.
Сделал так: воткнул 2 карты, на наружную поставил только IP (ни каких сервисов), на внудренней НетБИО и Доступ, но без IP.
Насколько безопасна такая конфигурация? Кто знает, нет ли известных "дыр", позволяющих подключиться через наружный интерфейс по НетБИО?
TS09.04.03 14:07 Автор: Zlobnui_Mydak[HitU] <Pr3DV+0Я> Статус: Member
> Короче, задача была такая: для задач администрирования > необходимо находиться за ФВ, в "открытом Инете", в то же > время мне для работы нужен достум к дискам и принтерам в > локалке. > > Сделал так: воткнул 2 карты, на наружную поставил только IP > (ни каких сервисов), на внудренней НетБИО и Доступ, но без > IP. > > Насколько безопасна такая конфигурация? Кто знает, нет ли > известных "дыр", позволяющих подключиться через наружный > интерфейс по НетБИО? имхо проще всего заинсталлить TerminalService и фаерволом закрыть ВСЕ порты внешнего интерфкйса, кроме порта TS(3389)
VPN09.04.03 16:45 Автор: Woonder <Бученков Андрей> Статус: Member
Ещё можно поставить RAS сервер для VPN доступа, и на внешнем интерфейсе закрыть все порты, кроме VPN (не помню номера портов), но номер протокола 47 (PPTP).
Извиняюсь, я же не спрашивал, "как защитить",10.04.03 03:12 Автор: Zef <Alloo Zef> Статус: Elderman
> просто у Мелкософта всегда так: "На заборе написано Х.. , а > на самом деле, там дрова лежат..." > > Написано " нетБИО выкл.", а на самом деле, может 139й > открыт, и к нему цепляться можно?
Сабж...
Если сервак рабочий, т.е. для внутренних нужд конторы (шары, принтеры, бэкап, БД и т.д.), то нефига из него городить своего рода бордер гетавэй, могут из нутри сетки воспользоваться вирусняк, злой умысел или ещё чего.
Если он и так стоит в DMZ - то всё вроде правильно, только клиента всё-же надо, поставь radmin или tserver, только трафик надо шифровать, а если GUI вообще не впились - терминал под ssh.
Извиняюсь, я же не спрашивал, "как защитить",10.04.03 18:50 Автор: Woonder <Бученков Андрей> Статус: Member
> Написано " нетБИО выкл.", а на самом деле, может 139й > открыт, и к нему цепляться можно?
Доверяй но проверяй .....
А без защиты никуды.
В принципе твой комп можно использовать и как плацдарм для атак внутрь и как маршрутизатор во внутрь. Смотря как и что у тебя на сервере установлено и как построена защита, а для проникновения внутрь NetBIOS и не нужен, так что неважно включен от у тебя на внутреннем интерфейсе или выключен.
Если тебе нужен ответ по существу, то по NetBIOS враг не пролезет.
Отключай его, но проверь порты на всяк случай :)
с которой я должен админить серваки и роутеры в "открытом" Интернете и одновременно печатать на принтере и обмениваться файлами со станциями, находяхимися в локалке за файрволом. Причем локалка и ФВ - "не мои". У меня нет рута на файрвольный сервак, чтобы настроить в нем для себя "лаз" наружу, для администрирования Инета, или внутрь для доступа к данным, и брать на себя этот геморрой я не хочу.
Если я буду сканить эту тачу и не обнаружу уязвимости, это будет только означать, что я не знаю, как ее взломать, или сканер "не знает такой уязвимости". Меня же интересует, уважаемые коллеги, Ваша экспертная оценка, не повышает ли уязвимость со стороны внешнего IP-шного интерфейса, наличие другого, физически недоступного "снаружи" интерфейса под НетБИО.
Ну да, судя по тому, что никто меня пока носом не ткнул, и не заорал: "Казимир, что ты делаешь, могут быть и дети!" - все в порядке.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
