- Проброс соединения, Andrey, 17:17 , 01-Ноя-17 (1) +1
>[оверквотинг удален] > есть белый IP в соседнем здании. Между зданиями линк есть. На > границе в обоих точках - FreeBSD+ipfw (FreeBSD1 и FreeBSD2). В основном > сегменте несколько серверов, выделенных в отдельную подсеть и спрятанных от случайных > кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ > по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал > portknocking и ремап порта 3389 на левый. Как бы передать с > FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет > программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего > мира? > Немного сумбурно получилось... В Интернете пока решения не нашёл.Поднимите VPN. Не изобретайте велосипедов.
- Проброс соединения, asphinx, 17:36 , 01-Ноя-17 (2)
>[оверквотинг удален] >> границе в обоих точках - FreeBSD+ipfw (FreeBSD1 и FreeBSD2). В основном >> сегменте несколько серверов, выделенных в отдельную подсеть и спрятанных от случайных >> кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ >> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал >> portknocking и ремап порта 3389 на левый. Как бы передать с >> FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет >> программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего >> мира? >> Немного сумбурно получилось... В Интернете пока решения не нашёл. > Поднимите VPN. Не изобретайте велосипедов.Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от сервера, openvpn требует установки tun/tap устройства, чего программер у себя не хочет. Думал про запуск скрипта через ssh - не хочу отрывать дырку с рутовым доступом. Сейчас читаю man nc...
- Проброс соединения, Andrey Mitrofanov, 17:42 , 01-Ноя-17 (3)
>> Поднимите VPN. Не изобретайте велосипедов. > Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от > дырку с рутовым доступом. Сейчас читаю man nc...По впечатлению, параграфы "сделал portknocking" и "бухгалтерский сервер открытым для всего мира" противоречат. Впрочем, я не вчитывался и желания нет. Продолжу наблюдать за разрастанием треда до 70+ постов со стороны.
- Проброс соединения, asphinx, 18:09 , 01-Ноя-17 (4)
>>> Поднимите VPN. Не изобретайте велосипедов. >> Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от >> дырку с рутовым доступом. Сейчас читаю man nc... > По впечатлению, параграфы > "сделал portknocking" и > "бухгалтерский сервер открытым для всего мира" > противоречат. > Впрочем, я не вчитывался и желания нет.В том-то и беда, что "не вчитывался"... :) portknоcking работает на одном шлюзе - с белым IP. А бухгалтерский сервер стоит за другим сервером, у которого есть свой канал в тырнет. Нет никакой гарантии, что какой-нибудь ушлый кульхацкер просканирует адрес и возрадуется, найдя открытым rdp. Даже более - политикой безопасности предписано держать rdp открытым даже для внутренних пользователей только прошедших одобрение начальника отдела. В смысле есть список адресов, одобренных начальством, откуда юзеры могут заходить на сервер. А вот с программером шеф пока лоханулся... :( Более того - есть в зданиях (читай - в сети) арендаторы, которых мы котролировать не можем. И вынести в отдельный физический сегмент пока не получается. Нет гарантии, что какой-нибудь школьник не попробует какой-нибудь новый инстрУмент, о котором ему друзья рассказали. Вот потому и хочется решения, чтобы FreeBSD2, пропустив "своего", дал серверу FreeBSD2 команду "пропустить его дальше".
- Проброс соединения, reader, 20:24 , 01-Ноя-17 (5)
>[оверквотинг удален] >>> границе в обоих точках - FreeBSD+ipfw (FreeBSD1 и FreeBSD2). В основном >>> сегменте несколько серверов, выделенных в отдельную подсеть и спрятанных от случайных >>> кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ >>> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал >>> portknocking и ремап порта 3389 на левый. Как бы передать с >>> FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет >>> программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего >>> мира? >>> Немного сумбурно получилось... В Интернете пока решения не нашёл. >> Поднимите VPN. Не изобретайте велосипедов.так сделайте SNAT для пакетов программера и стучите дальше на FreeBSD1 > Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от > сервера, openvpn требует установки tun/tap устройства, чего программер у себя не > хочет. Думал про запуск скрипта через ssh - не хочу отрывать > дырку с рутовым доступом. Сейчас читаю man nc... программер tun/tap не хочет, а стучать будет или он еще не знает, что вы ему готовите?
- Проброс соединения, asphinx, 22:49 , 01-Ноя-17 (6)
>[оверквотинг удален] >>>> сегменте несколько серверов, выделенных в отдельную подсеть и спрятанных от случайных >>>> кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ >>>> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал >>>> portknocking и ремап порта 3389 на левый. Как бы передать с >>>> FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет >>>> программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего >>>> мира? >>>> Немного сумбурно получилось... В Интернете пока решения не нашёл. >>> Поднимите VPN. Не изобретайте велосипедов. > так сделайте SNAT для пакетов программера и стучите дальше на FreeBSD1 Да как-то громоздко получается - проброс портов в нате для второго knocking-а, два раза запускать стучалку у клиента... >> Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от >> сервера, openvpn требует установки tun/tap устройства, чего программер у себя не >> хочет. Думал про запуск скрипта через ssh - не хочу отрывать >> дырку с рутовым доступом. Сейчас читаю man nc... > программер tun/tap не хочет, а стучать будет или он еще не знает, > что вы ему готовите? Ну, нашёлся knock под cygwin, например - килобайт 200-300 с dll-кой cygwin-a. Установка не нужна, современные винды конвееризацию команд уже понимают. Возможно, найдётся ещё и статически собранный... Кстати, решение простое тоже нашлось - самому стыдно, как протупил: ssh+sudo. Скрипт с правом запуска без пароля запускаемый тем же knockd.
- Проброс соединения, reader, 23:33 , 01-Ноя-17 (8)
>[оверквотинг удален] >>>>> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал >>>>> portknocking и ремап порта 3389 на левый. Как бы передать с >>>>> FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет >>>>> программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего >>>>> мира? >>>>> Немного сумбурно получилось... В Интернете пока решения не нашёл. >>>> Поднимите VPN. Не изобретайте велосипедов. >> так сделайте SNAT для пакетов программера и стучите дальше на FreeBSD1 > Да как-то громоздко получается - проброс портов в нате для второго knocking-а, > два раза запускать стучалку у клиента...второй стук - с FreeBSD2, скриптовый. Потом еще с ответными пакетами разбираться, у FreeBSD1 вить выход в инет свой. Но все таки vpn. Программер на FreeBSD2 (белый ip) подключается, раз уж маршрут передать не можете, то бух.сервер тоже подключаете (через локалку), и если vpn сервер их не сможет соединить, городить пробросы, маршрутизацию или бридж про виртуалку на FreeBSD2 с которой программер будет работать с 1с я молчу >[оверквотинг удален] >>> сервера, openvpn требует установки tun/tap устройства, чего программер у себя не >>> хочет. Думал про запуск скрипта через ssh - не хочу отрывать >>> дырку с рутовым доступом. Сейчас читаю man nc... >> программер tun/tap не хочет, а стучать будет или он еще не знает, >> что вы ему готовите? > Ну, нашёлся knock под cygwin, например - килобайт 200-300 с dll-кой cygwin-a. > Установка не нужна, современные винды конвееризацию команд уже понимают. Возможно, найдётся > ещё и статически собранный... Кстати, решение простое тоже нашлось - самому > стыдно, как протупил: ssh+sudo. Скрипт с правом запуска без пароля запускаемый > тем же knockd.
- Проброс соединения, Andrey, 23:23 , 01-Ноя-17 (7) –1
>[оверквотинг удален] >>> portknocking и ремап порта 3389 на левый. Как бы передать с >>> FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет >>> программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего >>> мира? >>> Немного сумбурно получилось... В Интернете пока решения не нашёл. >> Поднимите VPN. Не изобретайте велосипедов. > Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от > сервера, openvpn требует установки tun/tap устройства, чего программер у себя не > хочет. Думал про запуск скрипта через ssh - не хочу отрывать > дырку с рутовым доступом. Сейчас читаю man nc...1. "Программер" работает за ваши деньги и должен подчиняться вашим правилам. Не хочет ставить tun/tap интерфейс - приезжает в офис и работает локально. Вам - искать программера, который будет более сговорчивым. "Вы" в данном случае обобщение непосредственно вас и вашей организации. 2. Кто мешает создать батник/shell скрипт, который будет добавлять маршрут и запускать его при установлении PPTP? Насколько помню, то скрипты и батники можно запускать и на клиенте и на сервере при установлении PPTP.
- Проброс соединения, PavelR, 08:07 , 02-Ноя-17 (9)
> 1. "Программер" работает за ваши деньги и должен подчиняться вашим правилам. Не > хочет ставить tun/tap интерфейс - приезжает в офис и работает локально. Также "программер" может поднапрячься и сам организовать себе фиксированный IP. В качестве средства организации VPN можно также порекомендовать поднять IPSEC (L2TP)
- Проброс соединения, asphinx, 11:42 , 02-Ноя-17 (12)
>> 1. "Программер" работает за ваши деньги и должен подчиняться вашим правилам. Не >> хочет ставить tun/tap интерфейс - приезжает в офис и работает локально. > Также "программер" может поднапрячься и сам организовать себе фиксированный IP.Ну, материальные и временнЫе вопросы сотрудничества с программером я не курирую... Это уж они как-то сами там с начальством (моим непосредственным или ещё каким) договариваются... Если он, например, блуждающий фрилансер, работающий из кафе - это сейчас считается его правом... Я portknocking и проброс порта протестировал - наш пров пропускает, у меня работает. Если в каком-то кафе рубят - это проблемы будут не мои, а программера: пусть идёт в другое кафе. > В качестве средства организации VPN можно также порекомендовать поднять IPSEC (L2TP) IPSEC, если я правильно помню, очень "не любит" маскарадинга и хочет заранее определиться с адресами на концах. Или я с чем-то другим путаю?
- Проброс соединения, Andrey, 17:54 , 02-Ноя-17 (14)
>[оверквотинг удален] > Ну, материальные и временнЫе вопросы сотрудничества с программером я не курирую... Это > уж они как-то сами там с начальством (моим непосредственным или ещё > каким) договариваются... Если он, например, блуждающий фрилансер, работающий из кафе - > это сейчас считается его правом... Я portknocking и проброс порта протестировал > - наш пров пропускает, у меня работает. Если в каком-то кафе > рубят - это проблемы будут не мои, а программера: пусть идёт > в другое кафе. >> В качестве средства организации VPN можно также порекомендовать поднять IPSEC (L2TP) > IPSEC, если я правильно помню, очень "не любит" маскарадинга и хочет заранее > определиться с адресами на концах. Или я с чем-то другим путаю? Дался вам этот portknocking... У него изначально другие цели были. На FreeBSD2 сделайте проброс GRE и TCP/1723 на FreeBSD1. На FreeBSD1 поднимите любой VPN. Поставьте fail2ban для кулхацкеров. Там-же на FreeBSD1 сделайте файрвол, который будет пускать только на ваш 1С сервер по RDP для этого vpn интерфейса. Раздача маршрутов в pptp делается опциями DHCPINFORM. М$ работает с 249 опцией, остальной мир с 121 опцией. Туториалов по настройке PPTP+DHCP в сети достаточно.
- Проброс соединения, asphinx, 18:01 , 02-Ноя-17 (16) +1
> Дался вам этот portknocking... У него изначально другие цели были. > На FreeBSD2 сделайте проброс GRE и TCP/1723 на FreeBSD1. На FreeBSD1 поднимите > любой VPN. Поставьте fail2ban для кулхацкеров. Там-же на FreeBSD1 сделайте файрвол, > который будет пускать только на ваш 1С сервер по RDP для > этого vpn интерфейса. > Раздача маршрутов в pptp делается опциями DHCPINFORM. М$ работает с 249 опцией, > остальной мир с 121 опцией. Туториалов по настройке PPTP+DHCP в сети > достаточно.Спасибо, почитаю.
- Проброс соединения, eRIC, 22:07 , 04-Ноя-17 (21)
> Поднимите VPN. Не изобретайте велосипедов.это единственный правильный механизм, учитывая что 1С'ник тоже не на постоянном IP адресе, VPN'ом можно будет контролировать подключение этого работника и вслучае чего нагоняев... а то что он не хочет ставить, это не отмазки. привыкли они у себя RDP запускать и работать белоручки
- Проброс соединения, ыы, 08:54 , 02-Ноя-17 (10)
> у одной конторы есть основной канал с серым динамическим IP, куда ходят Либо вы что-то путаете, либо вы чего-то не договариваете :) > кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ > по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал Вариант с VPN - правильный. Еще есть такая вещь как динамический ДНС.
- Проброс соединения, asphinx, 11:27 , 02-Ноя-17 (11)
>> у одной конторы есть основной канал с серым динамическим IP, куда ходят > Либо вы что-то путаете, либо вы чего-то не договариваете :) "Запомни - все врут!" (С) доктор Быков. :) Что ж мне теперь надо всем рассказывать, что есть исторически сохранившийся ГосТЕЛЕКОМ, дающий исторический белый IP, но цены за хороший канал у него, мягко говоря, не вполне адекватные, и рядом - мелкий частник, дающий устойчивые 100 Мб/с, но с динамическими заморочками, адекватной ценой и абсолютно туманными перспективами на современном рынке? Думаю, это не очень интересно - "так сложилось". Хотя, конечно, простыня моих объяснений на полэкрана дополнительно подсветила бы ситуацию и вопросов стало бы на один-два меньше... Ситуация есть, менять её пока считается не целесообразно, моё мнение выслушали. Как обычно, нужно встроить костыль, "чтобы сейчас работало". >> кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ >> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал > Вариант с VPN - правильный. > Еще есть такая вещь как динамический ДНС. Согласен. С VPN я уже расписывал отношения. А в серых сетях динДНС бесполезен. :( rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8<VLAN_MTU> ether 00:1f:1f:5f:20:af inet 10.203.44.155 netmask 0xffffff00 broadcast 10.203.44.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active default 10.203.44.21 UGS 0 160953175 rl1 Почему оно сейчас сделано так у частника? - не сильно интересно, его право. Ему удобно, нам не мешает. Канал есть, пакеты бегают, пользователи счастливы, руководство довольно. RDP жрёт немного, передача файлов в современной версии встроена. Открыть порт на 3-5-10 секунд - для батника инициации соединения достаточно, а для школьника-крякера, думаю, не хватит времени на скан и внедрение, если он только специально не встанет в позу MITM и не будет непрерывно сканировать порт на предмет открытия. А это и выше - уже не школьный уровень.
- Проброс соединения, Сергей, 11:45 , 02-Ноя-17 (13) –1
Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно это не unix-way... Зато проще юзать и контролировать...
- Проброс соединения, asphinx, 17:58 , 02-Ноя-17 (15)
> Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно > это не unix-way... Зато проще юзать и контролировать...TeamViever у нас политикой разрешён только под присмотром админов, а программер получил "добро" работать не только в рабочее время.
- Проброс соединения, Сергей, 21:59 , 02-Ноя-17 (17)
>> Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно >> это не unix-way... Зато проще юзать и контролировать... > TeamViever у нас политикой разрешён только под присмотром админов, а программер получил > "добро" работать не только в рабочее время. уж очень сложно получается, там могут вылезти другие "прелести" по безопасности
- Проброс соединения, ыы, 13:28 , 03-Ноя-17 (18)
>>> Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно >>> это не unix-way... Зато проще юзать и контролировать... >> TeamViever у нас политикой разрешён только под присмотром админов, а программер получил >> "добро" работать не только в рабочее время. > уж очень сложно получается, там могут вылезти другие "прелести" по безопасности случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая там уж "безопасность" :)
- Проброс соединения, asphinx, 14:30 , 03-Ноя-17 (19)
>>>> Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно >>>> это не unix-way... Зато проще юзать и контролировать... >>> TeamViever у нас политикой разрешён только под присмотром админов, а программер получил >>> "добро" работать не только в рабочее время. >> уж очень сложно получается, там могут вылезти другие "прелести" по безопасности > случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая > там уж "безопасность" :) Ну, это уже головняк руководства - кого они нанимают и какую степень ответственности они на него возлагают. Раз они ему доверяют - я человеку даю доступ. Искать компромат на новых сотрудников - это уже не моя компетенция.
- Проброс соединения, ыы, 14:43 , 03-Ноя-17 (20)
>[оверквотинг удален] >>>>> это не unix-way... Зато проще юзать и контролировать... >>>> TeamViever у нас политикой разрешён только под присмотром админов, а программер получил >>>> "добро" работать не только в рабочее время. >>> уж очень сложно получается, там могут вылезти другие "прелести" по безопасности >> случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая >> там уж "безопасность" :) > Ну, это уже головняк руководства - кого они нанимают и какую степень > ответственности они на него возлагают. Раз они ему доверяют - я > человеку даю доступ. Искать компромат на новых сотрудников - это уже > не моя компетенция.Вы не можете организовать к нему VPN канал потому что он "нэ хочэт". При этом говорите что определение его компетентности и прав в вашей орагнизации не ваша компетенция... Ну так откройте ему прокинутый порт 3389 и все. К чему весь это геморр с открытием портов по стуку? ради безопасности? Она не в вашей комптенции. сами только что сказали. Послушайте меня внимательно. Вот как это должно быть: сервер разработки находится в ДМЗ. все действия логируются. никакого админского доступа. На сервере лежат ОБФУСЦИРОВАННЫЕ данные Доступ к серверу через VPN. Контроль чего там чувак наработал- производится вашими специалистами, и ТОЛЬКО ТОГДА переносятся в тест на реальных данных и только после этого теста- идут на продуктовую систему. Ничего этого у вас нет и это "не ваша область компетанции" а вы носитесть с порткноком... у вас дыра на всю ширину канала а вы латаете какие-то ручейки...
- Проброс соединения, asphinx, 18:36 , 07-Ноя-17 (22)
>[оверквотинг удален] >>> случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая >>> там уж "безопасность" :) >> Ну, это уже головняк руководства - кого они нанимают и какую степень >> ответственности они на него возлагают. Раз они ему доверяют - я >> человеку даю доступ. Искать компромат на новых сотрудников - это уже >> не моя компетенция. > Вы не можете организовать к нему VPN канал потому что он "нэ > хочэт". При этом говорите что определение его компетентности и прав в > вашей орагнизации не ваша компетенция... > Ну так откройте ему прокинутый порт 3389 и все.Как ему прокинуть, если у него динамический IP? Давайте будем читать исходную задачу полностью, а не через строчку. > К чему весь это геморр с открытием портов по стуку? ради безопасности? > Она не в вашей комптенции. сами только что сказали. Вернёмся ещё раз к прочтению исходной задачи. В мою задачу входит обеспечение безопасности сети. Но я не должен устраивать квест-тест новому сотруднику для проверки его лояльности конторе. Его кто-то нашёл, начальство собеседовало, кадровую проверку он прошёл и приказом оформлен. Про этику и коммерческую тайну предприятия не я должен с ним инструктаж проводить. Поставленная передо мной задача теперь - предоставить ему доступ к 1С. Если ему чьим-то решением был предоставлен допуск к важной информации, то не мне запрещать ему доступ. Если он сольёт важные данные на сторону, я, конечно, свою часть неприятностей получу, но не я буду отвечать за то, что ему дали допуск к этим данным. В данном случае я исхожу из предположения, что программер, нанятый конторой, действует в интересах конторы. Проверка его лояльности - не моя задача. НОНД. > Послушайте меня внимательно. > Вот как это должно быть: > сервер разработки находится в ДМЗ. > все действия логируются. никакого админского доступа. > На сервере лежат ОБФУСЦИРОВАННЫЕ данные > Доступ к серверу через VPN. > Контроль чего там чувак наработал- производится вашими специалистами, и ТОЛЬКО ТОГДА переносятся > в тест на реальных данных и только после этого теста- идут > на продуктовую систему. Это всё правильно и здорово, особенно, когда про это рассказывают в институте на факультете защиты информации, или на соответствующих курсах повышения квалификации. А, ну ещё у проверяющих органов на бумаге тоже здорово расписано, как оно должно быть. И эту теорию я тоже хорошо знаю. Но в жизни бывает "немного по другому", увы. Можно написать какую угодно идеальную политику безопасности сети и даже долго пытаться пилить сеть, идеально подгоняя её под эту политику, защищая её ключами и токенами. А потом приходит хозяин фирмы, показывает тебе Nokia 9000 и, мягко говоря, настаивает сделать так, чтобы он мог в любой момент с этого, тогда ещё, шедевра получить доступ к сети конторы. А на твои слова про безопасность и политику, которую он сам же подписывал и до всех доводил на большом собрании, говорит - "ну мне же надо всегда быть в курсе положения дел на фирме. И я видел в Watcom, как у них это всё здорово работает!"... А когда ему приносишь раскладку по расчёту стоимости, он говорит, что столько денег нет и, вообще, надоело ему с этим брелочком (токеном) ходить - сделай ему так, чтобы у него всё работало без аутентификации. Вот тогда понимаешь, что на самом деле безопасность сети это как сферический конь в вакууме: где-то там оно есть, но его никто не видел (или видел в гробу), и все знают, какой он должен быть - один ты идиот. > Ничего этого у вас нет и это "не ваша область компетанции" а > вы носитесть с порткноком... у вас дыра на всю ширину канала > а вы латаете какие-то ручейки... Действительно нет... Чего это я?.. Приглашаю протестировать нашу сеть на предмет дыр. PS: Дискуссия сваливается в непродуктивную, не соответствующую тематике. Предлагаю закончить её. Решение найдено, сделано, протестировано, работает. Всем, кто подтолкнул к решению - спасибо! Остальным - тоже спасибо за потраченное на чтение время.
|