praegune kellaaeg 25.05.2024 16:07:03
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
Overkilla
HV veteran
liitunud: 11.04.2004
|
20.09.2023 17:44:42
OpenVPN kaitsmine robotite vastu |
|
|
Väike OpenVPN server tiksub, hoiab andmebaasi ja jagab 5-6 kliendiga. Küll tulevad robotid pidevalt seda porti torkima ja OpenVPN teatab: client limit (20) reached.
Telia ruuteris otse suunamine port 1194 -> serveri peale.
Kuidas muuta seda turvalisemaks, et rünnakuid vähemaks jääks.
Seni pole keegi võõras ühendust saanud, sertifikaadid hoiavad, aga päris muretult ei tunne ikkagi.
|
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
20.09.2023 17:50:09
|
|
|
Overkilla, port ära vahetada ja panna püsti tarpit või brute force prevention.
Kui liiga palju pordi kallal niisama krõbistada, pannakse ip blacklisti ja dropitakse sealt tulevad paketid iptablesi prerouting chainis lihtsalt ära.
Ise aga soovitan OpenVPN'i asemel, wireguardile kolimist kaaluda.
See ei anna oma olemasolust kuidagi märku ja niisama seda porti probedes, on tulemuseks vaikus.
_________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
20.09.2023 17:51:53
|
|
|
Custom port jah. Pluss kui platform võimaldab, siis port knocking oleks ka variant eeldusel, et kasutajad sellega hakkama saavad.
Mõni nipp on veel. Näiteks panna rule, et kui keegi default porti proovib, siis saab ip mingiks ajaks ban-i.
|
|
tagasi üles |
|
|
laurx
HV Guru
liitunud: 25.03.2004
|
20.09.2023 17:58:25
|
|
|
Robotid müttavad custom pordid ka välja.
_________________ Ketas, ketta, ketast, kettasse, kettas, kettast, kettale, kettal, kettalt, kettaks, kettani, kettana, kettata, kettaga. <--SPIKKER! https://www.yaga.ee/mox-fulder
https://www.facebook.com/marketplace/profile/100087345405856/ värskeim loetelu. 25.05 ilmselt Tallinnas |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
20.09.2023 18:10:05
|
|
|
Siis on port knocking. Aga see tuleb nutikalt seadistada, Muud vahendit kui iptables ei oskagi kohe soovitada, ise olen käsitsi need reeglid teinud
|
|
tagasi üles |
|
|
Overkilla
HV veteran
liitunud: 11.04.2004
|
20.09.2023 18:30:29
|
|
|
Need head vastused, aga server jooksutab Windowsi. Andmebaasi jaoks vaja.
Pordi vahetus oli mul endal ka mõte, vähemasti mõnede pahalaste vastu töötab, kuhugi 45678 peale kolida.
Hetkel kaalun isegi tulemüüri seadme ostmist, kas see aitaks filtreerida, näiteks ZYXEL USG Flex Firewall 10/100/1000.
|
|
tagasi üles |
|
|
laurx
HV Guru
liitunud: 25.03.2004
|
20.09.2023 19:37:23
|
|
|
kuidas sul praegu see openvpn on? mingi võrguseade on sul seal ju? openvpn i serverit oskab asus mis nad olid, rt660/680 ja ilmselt ka järglased teha.
mul ühes kohas oli 660rt vms ja openvpn i server jooksis seal. ehk siis klient ühendas võrguseadmesse, sealt siis tegin edasi, antud juhul läksid kasutajad oma masinale remote desktopiga edasi (seda kasutajad oskasid)
meil olid customa rdp pordid otsitud, igale kasutajale siis seadistatud, et tema masin kuulas kindlat porti ja võrguseade siis suunas vastavalt. ühel hetkel läks malwarebytes business masinatesse. siis hakkas tekkima logi, et mingitesse masinatesse on käidud koputamas. asuses käisin katsumas ja ip sid blokeerimas. enamus olid hiinast, prooviti suvapordil masinatesse sisse logida. panin openvpn i siis asuses käima. sättisin asuse ka nii, et logiks, saadaks kirjeid. asus oli vait. masinatest read kadusid.
_________________ Ketas, ketta, ketast, kettasse, kettas, kettast, kettale, kettal, kettalt, kettaks, kettani, kettana, kettata, kettaga. <--SPIKKER! https://www.yaga.ee/mox-fulder
https://www.facebook.com/marketplace/profile/100087345405856/ värskeim loetelu. 25.05 ilmselt Tallinnas |
|
tagasi üles |
|
|
Overkilla
HV veteran
liitunud: 11.04.2004
|
20.09.2023 21:04:08
|
|
|
laurx kirjutas: |
kuidas sul praegu see openvpn on? mingi võrguseade on sul seal ju? openvpn i serverit oskab asus mis nad olid, rt660/680 ja ilmselt ka järglased teha.
mul ühes kohas oli 660rt vms ja openvpn i server jooksis seal. ehk siis klient ühendas võrguseadmesse, sealt siis tegin edasi, antud juhul läksid kasutajad oma masinale remote desktopiga edasi (seda kasutajad oskasid)
meil olid customa rdp pordid otsitud, igale kasutajale siis seadistatud, et tema masin kuulas kindlat porti ja võrguseade siis suunas vastavalt. ühel hetkel läks malwarebytes business masinatesse. siis hakkas tekkima logi, et mingitesse masinatesse on käidud koputamas. asuses käisin katsumas ja ip sid blokeerimas. enamus olid hiinast, prooviti suvapordil masinatesse sisse logida. panin openvpn i siis asuses käima. sättisin asuse ka nii, et logiks, saadaks kirjeid. asus oli vait. masinatest read kadusid. |
OpenVPN Windowsi peal, Telia ruuter otse suunab sinna porti. Vahel pole ühtegi lüli, mis filtreeriks, see ongi nõrk koht.
Inteno DG400-l on täiesti savi, mis liiklus seal käib, ma ükshaaval neid ip-sid ka ei hakka käsitsi blokeerima.
Siis Asuse seade sai kogu koormuse endale, ei jäänud hätta robotitega?
|
|
tagasi üles |
|
|
Dijital
HV Guru
liitunud: 09.06.2003
|
|
tagasi üles |
|
|
laurx
HV Guru
liitunud: 25.03.2004
|
20.09.2023 21:06:06
|
|
|
Asus maha ei käinud.
_________________ Ketas, ketta, ketast, kettasse, kettas, kettast, kettale, kettal, kettalt, kettaks, kettani, kettana, kettata, kettaga. <--SPIKKER! https://www.yaga.ee/mox-fulder
https://www.facebook.com/marketplace/profile/100087345405856/ värskeim loetelu. 25.05 ilmselt Tallinnas |
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
20.09.2023 21:15:20
|
|
|
laurx, ma arvan et VPN’i teise purki tõstmine teda et vaevalt nende kiibitsejate vastu aitab.
Aga samas masinas VPN’i ja baase hostida küll ilmselgelt hea mõte pole.
_________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
tagasi üles |
|
|
laurx
HV Guru
liitunud: 25.03.2004
|
20.09.2023 21:20:42
|
|
|
niipalju aitab, et võtab selle teise purgi konfiga veidi läbu kinni. kui sinna vahele saab mingi rohkem konfitav asi, saab vast puhtamaks ja muretumaks. ma tahtsin seda näidata, et juba teise purki kolimisega läksid logid puhtamaks aga see mida asus ei näidanud, ei tähendanud, et ei olnud seda kangutamist.
_________________ Ketas, ketta, ketast, kettasse, kettas, kettast, kettale, kettal, kettalt, kettaks, kettani, kettana, kettata, kettaga. <--SPIKKER! https://www.yaga.ee/mox-fulder
https://www.facebook.com/marketplace/profile/100087345405856/ värskeim loetelu. 25.05 ilmselt Tallinnas |
|
tagasi üles |
|
|
Overkilla
HV veteran
liitunud: 11.04.2004
|
20.09.2023 21:53:30
|
|
|
Dijital kirjutas: |
Kas kliendid on väljamaalt või kohalikud ning kas botid on väljamaalt või kohalikud? Ehk saad whitelistida sobivad IP-vahemikud ja teised kõik saadetakse juba eos pikalt. |
Kliendid kohalikud, aga ip-d väga erinevad - mobiilsed ja muutuvad asukohad.
Kangutamas käivad Korea, USA, Prantsusmaa jms - kui saaks lubada Eesti ainult oleks väga super.
64.137.254.30 Pätt
46.131.***.*** oma
66.171.255.46 Pätt
91.129.***.*** oma
23.151.232.4 pätt
194.126.***.*** oma
119.194.210.238 pätt
176.46.***.*** oma
172.96.140.126 pätt
|
|
tagasi üles |
|
|
warwas
HV Guru
liitunud: 06.07.2003
|
20.09.2023 23:09:23
|
|
|
Kui Sul seal Windowsi masinas on tulemüür traditsiooniliselt välja lülitatud, siis lülita see sisse ja tee siseneva 1194 pordi peale reegel, kus on lubatud ainult Eesti vahemikud (https://suip.biz/?act=ipcountry).
Edasijõudnute variant oleks see, et ajad seal masinas Hyper-V käima ja teed ühe pisikese linuxi vm'i, mis hakkab nö. VPN gateway'd mängima. Sinna saaksid juba seadistada fail2ban vms, vidina mis kõik kiibitsejad lühemaks või pikemaks ajaks risti lööb.
|
|
tagasi üles |
|
|
DigeBeni
HV Guru
liitunud: 06.11.2001
|
21.09.2023 08:38:26
|
|
|
Ei saa kuidagi väga tõsiselt seda mure võtta, kui kasutuses teenusepakkuja DG400, mis on sisuliselt kasutaja jaoks kinnine karp
Jah, võib igast keemiat kokku aretada selle karbi taha, kuid kuniks ruuter pole sinu kontrolli all, siis millest me siin üldse räägime
_________________
|
|
tagasi üles |
|
|
Tint
HV veteran
liitunud: 26.01.2003
|
21.09.2023 12:25:30
|
|
|
ruuter ruuteriks, seal sa saad piirata ehk ip põhiselt ligipääsu, pigem on sinna tulemüüri ruuteri asemel vaja
|
|
tagasi üles |
|
|
Overkilla
HV veteran
liitunud: 11.04.2004
|
22.09.2023 11:50:50
|
|
|
Ma eelpool uurisin ka, et milline seade sobiks. Cisco tulemüür? Paneks sinna vahele ja saaks päris töötava lahenduse.
|
|
tagasi üles |
|
|
DigeBeni
HV Guru
liitunud: 06.11.2001
|
22.09.2023 12:25:14
|
|
|
Pole mõtet üle pingutada, kui see just mingi ülimalt teenusekriitiline ja massilise liiklusega lahendus pole, siis soovitaks:
https://foorum.hinnavaatlus.ee/viewtopic.php?t=830452
Saab juba ruuteri tasemel suuremas osa asju kätte, mis turvalise ühenduse loomiseks vajalik.
Muidugi eeldab pisut algteadmisi, kuidas asju seadistada, kuid võimalused on kõik olemas.
_________________
|
|
tagasi üles |
|
|
warwas
HV Guru
liitunud: 06.07.2003
|
22.09.2023 12:40:17
|
|
|
Overkilla, kui sa "päris" Ciscode hinda näed, siis läheb Sul isu üle
Cisco pole mingi võluvits, mis kõik probleemid automaatselt ära lahendab.
Ma ei saa endiselt aru, miks soovitatakse asja nii hullult keeruliseks ajada. Saaks veel aru mingi suurema teenuse pakkumise kontektsis aga 5-6 kasutajat? Kui on eelarves vahendeid, mida vaja kulutada, siis muidugi, miks mitte.
Sesmõtts olen DigeBeni'ga nõus, et kontrolli puudumine teeb Telia seadmete kasutamise veidi ebamugavaks. Aga mitte võimatuks. Jah, kohe perimeetril müürimine võiks olla eelistatud aga mitte märkimisväärselt halvem pole ka selle tegemine veidike kaugemal (eriti veel sellise väikese setupi kontekstis).
Kui hakkad uut ruuter/müüri vaatama, siis vaata juba selline, millel on miski VPN'i teenus juba sisse ehitatud. Siis Tikkude RouterOS sai vist nüüd 7. versiooniga lõpuks ometi UDP toega OpenVPN'i. Samuti on seal olemas Wireguard, mis võiks olla tänasel päeval eelistatud.
Tulles tagasi probleemi enda juurde - kas need kasutajad tulevad dünaamiliste või fikseeritud aadresside tagant? Kui aadressid ei muutu, siis teed ruuterisse konkreetsete piirangutega suunamised ja probleem ongi lahendatud. Kohe perimeetril, ja puha.
Kui dünaamilised, siis miks mitte kasutada Windowsi enda tulemüüri reegleid? Müürid kõik peale Eesti välja ja ongi vaikus majas.
|
|
tagasi üles |
|
|
Overkilla
HV veteran
liitunud: 11.04.2004
|
22.09.2023 14:12:37
|
|
|
Tänud kaasa mõtlemast. HyperV ei hakka seadistama ajakulu tõttu, seepärast pigem plaan väline seade võtta, vaatasin hetkel natuke alla 1000eur seadmeid, kuigi jah Cisco ka 17k - enamus sellest võimekusest pole vaja.
Telia pakub 400eur/kuu tulemüüri teenust, see ikka tundub liig.
Dünaamilised aadressid klientidel, ma natuke jälgin kas need tihti muutuvad ja jäävad sinna eelpool toodud Eesti vahemikku.
|
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
22.09.2023 14:22:39
|
|
|
Kui hyper V liiga keeruline tundub, siis virtualboxis saab ka vabalt mingi linuxi käima lasta. Saad põmst oma windowsi masinast openvpn konfi võtta ja pole isegi väga palju seadistada, et openvpn seal virtuaalmasinas tööle hakkaks.
Kui mingisugunegi eelnev kogemus olemas on, siis pakuks et paar tundi ja asi töötab. Tulemüüri(ja soovi korral fail2ban) seadetega peab muidugi natuke mängima et endale see kõikse parem leida, see võib mõnevõrra rohkem aega võtta.
|
|
tagasi üles |
|
|
warwas
HV Guru
liitunud: 06.07.2003
|
22.09.2023 14:32:32
|
|
|
Hyper-V soovitus oli puhtalt selle pärast, et see on Sul "tasuta" juba praegu olemas.
Eraldi "VPN lüüsi" lahendust (vahet pole, kas füüsilise või virtuaalsena) pakkusin seetõttu, et olen isiklikult Sinu probleemiga sarnast olukorda aastaid tagasi sedasi lahendanud. Wireguard'i serveriks sai kasutatud vana 2. generatsiooni vaarikat (B+, äkki?), mis tänu WG efektiivsusele võimaldas ~95Mb/s liiklust (võib-olla oleks tulnud isegi rohkem, aga neil vanadel vaarikatel oli ju 100'ne võrkar).
Ja sellisest setupist pumbati probleemideta igapäevaselt kümneid gigasid läbi.
(analoogne lahendus OpenVPN'i puhul kasutas alumise otsa Inteli NUC'i, sest OVPN pole just väga "kerge" asi, mida vedada).
PS! Alla 1000 euriku Sa õiget Ciscot ei saa. Kui mälu ei peta, siis kõige odavamad Firepower'id algavad vist kuskil 1500 kandist.
|
|
tagasi üles |
|
|
DigeBeni
HV Guru
liitunud: 06.11.2001
|
22.09.2023 15:16:19
|
|
|
Ma ei väida, et ei saaks teisiti, kuid kui inimese jaoks tekivad küsimused nii põhimõttelistes asjades, siis ilmselgelt ei ole ise ehitamine parim mõte ja valmis purk, mis oskab natuke kõike ja on kõigeks selleks ka mõeldud; on olemas ka mingi arvestav tugi ja know-how, oleks igal juhul parem lahendus.
_________________
|
|
tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
22.09.2023 15:22:40
|
|
|
siin on mõne kliendi teenindamiseks mõeldud pisi-VPNi konfimisest juba ulmesse ära jõutud.. võta sammhaaval, kõigepealt muuda port mingi kõrge ja mittestandardse peale ära ja siis vaata, kas oleks üldse midagi veel vaja
|
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
22.09.2023 15:25:19
|
|
|
pppd, tõsi ta on, see on kõige lihtsam meede mingit lollid bot-d eemale peksta.
Samas windowsi peal openvpn jooksutamine on üldse nagu on, mina seda parema meelega ei teeks kui just hädavajadust pole.
|
|
tagasi üles |
|
|
|
lisa lemmikuks |
|
|
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|