forum.opennet.ru

Составление сообщения

Исходное сообщение

"Исследование показало плачевное состояние защищённости..."
Отправлено Аноним, 20-Апр-13 20:00

> это ещё не причина открывать прямой ssh-доступ к нему.
> ssh через роутер на домашний сервер, дальше с него — опять на роутер,
И что это чисто технически дает кроме лишних полетов пакетов, добавочного узла в цепочке и прочая? ИМХО если уж извращаться - можно например поднять на роутере VPN по типу openvpn и подвесить ssh только на интерфейс VPN. Так те кто не может проавторизоваться в vpn вообще никогда не узнают о том что ssh вообще был.
Очевидное удобство - можно в не особо доверяемой сети собрать более-менее доверяемую виртуальную сеть, топология которой может быть более-менее отвязана от физического устройства. Ну и внутренние сервисы сторонним кексам не видны. Как бонус - какой-нибудь N900 или ноут может спокойно цепляться к любой вафле в кафешке, поднять оттуда шифрованный туннель до более-менее доверяемого хоста и уже по нему гонять все данные. При этом еще и не важно насколько там прямой/кривой айпи, данные не полетят в эфир открытым текстом, никто не будет видеть к каким именно сервисам обращение, не сможет неавторизованно менять сетевой траффик, etc.
> но уже из довереной сети.
Не вижу чем именно роутинг пакетов роутером более доверен чем обработка оным SSH'а. Мы или доверяем роутеру, или нет. Если целью было не светить внешнему миру ssh, можно его спрятать за порткнокером или подвесить только на VPN-интерфейс. А так ssh там такой же как и везде. На нормальной прошивке с вменяемым админом ssh на роутере - ничем не лучше и не хуже ssh где либо еще.
> ну да, извращённо. но мне, например, так удобней:
Мне такое не нравится тем что потенциально больше точек отказа. Ну и роутер можно упсой подпереть на несколько суток наверное, а сервер - смотря что под ним понимать. К тому же роутер при длительном факапе с питанием может остальных поднять по WOL, например.
> всё равно именно на роутер мне почти никогда не надо.
Ну я предпочитаю спихнуть все нетворкинг задачи связанные со внешкой на того кто этой внешкой рулит чисто технически.
> поэтому некий нестандартный порт роутер тупо перебрасывает на sshd у домашнего сервака.
У меня на самом деле вообще нет доступа по ssh напрямую из внешки. Вообще никуда в интранете. Сначала надо стать частью впн-а, а вот потом станет видно что там есть.

Исходное сообщение
"Исследование показало плачевное состояние защищённости..." Отправлено Аноним, 20-Апр-13 20:00
> это ещё не причина открывать прямой ssh-доступ к нему. > ssh через роутер на домашний сервер, дальше с него — опять на роутер, И что это чисто технически дает кроме лишних полетов пакетов, добавочного узла в цепочке и прочая? ИМХО если уж извращаться - можно например поднять на роутере VPN по типу openvpn и подвесить ssh только на интерфейс VPN. Так те кто не может проавторизоваться в vpn вообще никогда не узнают о том что ssh вообще был. Очевидное удобство - можно в не особо доверяемой сети собрать более-менее доверяемую виртуальную сеть, топология которой может быть более-менее отвязана от физического устройства. Ну и внутренние сервисы сторонним кексам не видны. Как бонус - какой-нибудь N900 или ноут может спокойно цепляться к любой вафле в кафешке, поднять оттуда шифрованный туннель до более-менее доверяемого хоста и уже по нему гонять все данные. При этом еще и не важно насколько там прямой/кривой айпи, данные не полетят в эфир открытым текстом, никто не будет видеть к каким именно сервисам обращение, не сможет неавторизованно менять сетевой траффик, etc. > но уже из довереной сети. Не вижу чем именно роутинг пакетов роутером более доверен чем обработка оным SSH'а. Мы или доверяем роутеру, или нет. Если целью было не светить внешнему миру ssh, можно его спрятать за порткнокером или подвесить только на VPN-интерфейс. А так ssh там такой же как и везде. На нормальной прошивке с вменяемым админом ssh на роутере - ничем не лучше и не хуже ssh где либо еще. > ну да, извращённо. но мне, например, так удобней: Мне такое не нравится тем что потенциально больше точек отказа. Ну и роутер можно упсой подпереть на несколько суток наверное, а сервер - смотря что под ним понимать. К тому же роутер при длительном факапе с питанием может остальных поднять по WOL, например. > всё равно именно на роутер мне почти никогда не надо. Ну я предпочитаю спихнуть все нетворкинг задачи связанные со внешкой на того кто этой внешкой рулит чисто технически. > поэтому некий нестандартный порт роутер тупо перебрасывает на sshd у домашнего сервака. У меня на самом деле вообще нет доступа по ssh напрямую из внешки. Вообще никуда в интранете. Сначала надо стать частью впн-а, а вот потом станет видно что там есть.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру