> нормальную полноценную систему. с аудитом, кучей умных скриптов и прочих плюшек.Аудитить полтора процесса на роутере проще чем навороченный сервант, если уж на то пошло. Скрипты и прочая там тоже можно пинать. Обычная линуховая машинка, просто мелкая и на границе сетей.
>> Не вижу чем именно роутинг пакетов роутером более доверен чем обработка оным SSH'а.
> даже если не учитывать других нюансов — бедному атакующему теперь ломать два ssh заместо одного.
А что ему помешает сломать один и удовольствоваться этим результатом? У большинства атакующих нынче цель не максимально нагнуть инфраструктуру. А максимально поюзать ресурсы (бандвиз, вычисления, ...).
К тому же я знаю железо роутера как облупленное и технологически имею доступ во ВСЕ закоулки, вплоть до самого раннего бутлоадера (к тому же u-boot с сорцами) и прочая. Я могу перелить known good бут и систему даже если окучурился совсем весь софт, перелив все в совсем пустой девайс. Насчет х86 например я и близко не могу похвастать таким уровнем контроля над платформой. Там всякие проприетарные биосы живут своей жизнью, etc. Если уж паранойю разводить.
> а на сервере живут агрессивные роботы, которых програли
> с планеты Шелесяка, и теперь они кусаются.
И как, много кого/чего они покусали? :)
>> ssh на роутере — ничем не лучше и не хуже ssh где либо еще.
> кроме того, что роутер — очень ограниченая по ресурсам коробочка.
Любая машина - "ограниченная по ресурсам коробочка" :). Ну да, поднимать там аццкий вебсервант с навороченной энтерпрайзятиной будет перебором. С другой стороны, скромные ресурсы означают скромное потребление, мелкие размеры, более высокую надежность за отсутствием кулеров, возможность подпереть упсой на несколько дней и прочая. Оттуда же можно откомандовать по WoL разбудить других.
>> роутер можно упсой подпереть на несколько суток наверное
> какой смысл в печальном роутете, у которого не осталось больше клиентов?
Капитан Очевидность намекает что у телефона и ноутбука есть собственные батарейки, поэтому клиенты таки могут и остаться.
>> факапе с питанием может остальных поднять по WOL, например.
> а какая связь?
Как какая, по ssh можно зайти на роутер и оттуда отпинать по WoL остальное. Точка входа то должна быть живой, или где? В твоей схеме как я понимаю надо еще чтобы сервак не сдох. Иначе не попадешь в внутреннюю сеть и с него не сможешь зайти на роутер. А у меня на роутере хоть и не совсем прямой ssh, но все что необходимо для его юзежа живет сугубо в этой коробочке, не завися от остальных.
> что-то помешает ему это сделать, если я уберу прямой ssh-доступ из любых сетей?
Зависимость от живости внешнего серванта, жрущего прорву энергии, который упсом на значительное время подпереть проблематично. Если я правильно понял организацию твоей сети.
>> кто этой внешкой рулит чисто технически.
> бедный роутер не выдержит. у меня, знаешь ли, ещё сервисы всякие висят. далеко не один.
Смотря что за сервисы. Энтерпрайзный портал со всеми наворотами - может и не выдержит. А подъем всяких там VPN линков, роутинг, натинг, правила фаера и прочая - выдерживает без проблем.
> поднять VPN из рандомного места не всегда просто.
OpenVPN - просто. Проще чем ssh, т.к. его устраивает и TCP и UDP.
> а вот ssh — таки проще. для винды — тот же putty/kitty с флэшины, например.
Я от "внешних" граждан беру только сеть. Девайс который конектится - всегда мой. Нотик или телефон, в зависимости от лени и ожидаемого масштаба задач. Светить ключи или пароли на хз чьей машине с хзчьим софтом делающим хз что мне как-то не по вкусу.
> нет, я не боюсь, что пароли упрут: если не совершить неких
> телодвижений, они поменяются на другие.
Ну мне лениво менять везде ключи и пароли на каждый пук. Поэтому я их просто не предоставляю недоверяемым машинам. Это как-то проще.
> из недовереных мест я телодвижений совершать
> не буду — пусть логгируют, пока не надоест.
Собссно vpn - как раз и защищает канал из недоверенного места. Если на обоих концах линка машины которые друг другу доверяют, они могут коммуницировать по несекурному туннелю вполне секурным образом, по очевидным причинам. В этом случае ограничений на операции по сути нет. Я как-то плохо представляю себе как на мой ноут кто-то отодвинув меня будет ставить кейлоггер. А беспроводной канал передачи окажется с шифрованием даже если исходно wi-fi сеть открытая или даже подставная, вот как раз от этого openvpn при правильном подходе защищает.
А всякие putty еще и в реестр срут записями о сессиях. Оставляя их там на память, если специальных мер не прнять. А оно мне надо?