Router a Server v jednom

Re:Router a Server v jednom
« Odpověď #30 kdy: 04. 05. 2021, 18:20:53 »
Zase plno virtuálních keců, pochopili jste vůbec princip děravé krabičky s anténkama, kterou mají téměř všichni a záplatovaného serveru?
Mám povolené IP rozsahy, ze kterých se připojuji. Všude kde to jde, mám přístup ověřovaný radiusem. U WiFi používám WPA2/3 EAP-TLS a mám zapnutou ochranu rámců pomocí 802.11w proti jakýmkoliv útokům (např. deauth).


PanVP

Re:Router a Server v jednom
« Odpověď #31 kdy: 04. 05. 2021, 18:40:37 »

Tak nadhoď tu adresu, ať se můžeme pokochat  8)
Lupnu jí do toho fóra a uvidíme, uvidíme.

...A samozřejmě by bylo spravedlivé, aby ti původní tazatel vytunil konfiguraci  :o
« Poslední změna: 04. 05. 2021, 18:43:01 od PanVP »

Re:Router a Server v jednom
« Odpověď #32 kdy: 04. 05. 2021, 19:26:43 »
Mám KVM/LXD hosta, firewall zavřenej, max SSH z důvěryhodných zařízení a autorizaci pouze klíčem.

Je tam obyč bridge či passthrough fyzického zařízení do jedné virtuálky, vedle běží další virtuálka s NASem a třeba i virtuálka s webserverem.

Co takhle si přiznat, že pravděpodobnost, že se najde 0-day bot, co napadne KVM virtuálku například v Proxmoxu která obsahuje třeba openwrt a dostane se skrze ní na druhou virtuálku s daty, je takřka nulová?
Respektive, ten rozdíl, mezi dvěmi fyzickými zařízeními a tímto řešením, nevidím v bezpečnosti před útočníky, ale v tom, že když to chcípne, tak oboje najednou.

Virtuálky v KVMku prodává Amazon, Google a hromada dalších.
Skutečně se mi nezdá, že by to představovalo tak závažný problém, jako je zde prezentováno...
No a projít instalátorem Proxmoxu, zvládne i člověk, co dokáže nainstalovat Windows.
Pokud se pletu, poučte mě. :-)

Re:Router a Server v jednom
« Odpověď #33 kdy: 04. 05. 2021, 19:55:16 »
(...) je to myšlení hazardního hráče, který je přesvědčený, že když na ruletě padla 10x za sebou červená, tak příště už musí přijít černá - a nechce uvěřit, že šance je stále 18:37, stejně jako při prvním roztočení. Šalba vlastní zkušeností je nebezpečná.

Nikoli! Pravděpodobnost že padne červená v jednotlivém kole sice zůstává stále stejná, ale celková pravděpodobnost, že alespoň v jednom kole padne červená, roste s rostoucím počtem pokusů (= sčítání pravděpodobností).

Aplikováno na téma dotazu: Každého nakonec hacknou.
« Poslední změna: 04. 05. 2021, 19:57:21 od Ondrej Nemecek »

Re:Router a Server v jednom
« Odpověď #34 kdy: 04. 05. 2021, 20:03:23 »
Pokud to technologie umoznuje, tak mozne je vse. :) Samozrejme to neznamena, ze to tak je vzdy v poradku. Ale co jsem tim chtel rict. Zkousel jsem mit all-in-one reseni, ale z vlastni zkusenosti jsem prisel na to, ze mi to za to nestoji. Zaprve jsem nebyl schopny nasadit pfSense do Proxmox bez problemu (z nejakeho duvodu jsem mel tak polovicni rychlosti do WAN a vypadaval mi internet kvuli nedostupnosti DNS serveru u klientu). Vedel jsem, ze na samostatnem HW tyhle problemy nejsou. Zadruhe co se stane, kdyz budu delat udrzbu na jedinem stroji a nepojede mi (cele rodine) internet. Jak pak budu hledat reseni na internetu? :) A dalsi vec je, ze cim vic toho budu mit na jednom miste, tak tim vetsi sance si vsechno rozbit...

Potrzeno, secteno. Radeji mit jednu z nejdulezitejsich komponent na siti na dedikovane HW, kde i s obcasnym restartem kvuli update budu mit "rock solid" router, ktery me nezklame. Se zbytkem si pak muzu delat co hrdlo raci a ostatni si niceho nevsimnou (alespon pri koukani na Novinky a YT). Ale jak se rika YMMV.

Co se tyce bezpecnosti, tak tam je to asi jedno. Pokud nekde neco spatne nastavim a utocnik pak bude mit pristup do me infrastruktury, tak rozdil mezi all-in-one a samostatnym resenim se mi zda maly. Rozsah skod muze byt ruzny, ale v kazdem pripade bude mit clovek o praci navic.
Mam pfsense v KVM na proxmoxe 6. Funguje celkom OK, ale obcas sa stane ze vypadne internet. Nevypadne komplet internet, ale urcite vypadne vsetko od googlu, youtube ... a zistil som ze vypadne vacsina TLD, mimo sk (prip. funguje aj cz).
Ked pingam z pfsense, google.com, alebo 8.8.8.8 tak vsetko je v poriadku.
Z lokal PC 8.8.8.8 ide, ale google.com nie.
Vypadok je radovo niekolko minut a potom znova vsetko funguje.
Vypada to na problemy s DNS, ale v dokumentacii pfsense sa uvazda  ze DNS je nastavene po instalacii v defaulte a nemusi sa nastavovat.

AKo si to myslel s vypadaval mi internet kvuli nedostupnosti DNS serveru u klientu

A co sa tyka rychlosti, tak ake mas pripojenie a kolko to islo, ked pises, ze to islo na polovicu ?


_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Router a Server v jednom
« Odpověď #35 kdy: 04. 05. 2021, 20:18:09 »
To je zase diskuze  ::) Možná by pomohlo, kdyby diskutující napsali nějaké příklady útoků, které se dají realizovat, a s jejich řešením ne.
Ahoj,
chtěl bych navázat na téma "NFS na routeru" (https://forum.root.cz/index.php?topic=24665), kde je tazatel odrazován od instalace NFS na router.
Já v tam vidím problém konkrétně v tom NFS, protože zejména kernelové NFS rádo poslouchá všude a když ho jako začátečník omylem vystrčíš do netu, tak se začnou dít velké věci. U ostatních služeb si myslím, že žádný problém není - koneckonců je to stejné, když to provozuješ na systému co současně dělá gateway, jako kdybys to měl někde v housingu (a jak sám píšeš, tak když to dáš za samostatný router, tak stejně budeš forwardovat porty na ty stejné služby a attack surface se tak jaksi nezmění -- jediný problém by byl když bys nějakou službu vystavil na venkovní rozhraní omylem). A že se dostanou do vnitřní sítě? To se jednak přes DMZ podaří taky, jednak v dnešní době stejně chceš vnitřní síť považovat za nedůvěryhodnou.

Pro Wifi síť používám starší AP s OpenWRT (TP-Link TL-WDR3600), ale myslím že aktualizace ještě vycházejí.
No tak hlavně jestli je instaluješ :). I když ono v openwrt podle mě moc děr nebylo.

Pomohlo by na server nasadit třeba Proxmox a snažit se provozovat router a ostatní věci odděleně ve VM? (Má to smysl, když cpu neumí vt-d a síťovka tedy nepůjde přiřadit přímo do VM, ale zůstane v hostiteli?)
Tohle by určitě pomohlo, až někdo vyhackuje jednu službu, tak nezíská ty ostatní. Jako lightweight varianta by se daly použít nějaké kontejnery, ale nemám s tím zkušenosti.

Re:Router a Server v jednom
« Odpověď #36 kdy: 04. 05. 2021, 21:44:26 »
Nikoli! Pravděpodobnost že padne červená v jednotlivém kole sice zůstává stále stejná, ale celková pravděpodobnost, že alespoň v jednom kole padne červená, roste s rostoucím počtem pokusů (= sčítání pravděpodobností).

Aplikováno na téma dotazu: Každého nakonec hacknou.

No jistě. Chtěl jsem tím upozornit, že uplynulých 13 let nijak nezmenšuje riziko, že zrovna zítra pana kolegu někdo úspěšně napadne.

Re:Router a Server v jednom
« Odpověď #37 kdy: 04. 05. 2021, 22:23:59 »
(...) je to myšlení hazardního hráče, který je přesvědčený, že když na ruletě padla 10x za sebou červená, tak příště už musí přijít černá - a nechce uvěřit, že šance je stále 18:37, stejně jako při prvním roztočení. Šalba vlastní zkušeností je nebezpečná.

Nikoli! Pravděpodobnost že padne červená v jednotlivém kole sice zůstává stále stejná, ale celková pravděpodobnost, že alespoň v jednom kole padne červená, roste s rostoucím počtem pokusů (= sčítání pravděpodobností).

Aplikováno na téma dotazu: Každého nakonec hacknou.

Přesně tak. Popisuje to třeba Poissonovo rozdělení:
https://cs.wikipedia.org/wiki/Poissonovo_rozd%C4%9Blen%C3%AD
V roce 1943 padla 32x po sobě červená, což je nejdelší zaznamenaný rekord (nebo spíš švindl). Kdyby se to neřídilo žádným pravidlem, tak padne klidně 100x, ale to se zkrátka neděje. 

« Poslední změna: 04. 05. 2021, 22:27:06 od kotelgg »

Re:Router a Server v jednom
« Odpověď #38 kdy: 05. 05. 2021, 09:04:27 »

Tak nadhoď tu adresu, ať se můžeme pokochat  8)
Lupnu jí do toho fóra a uvidíme, uvidíme.

...A samozřejmě by bylo spravedlivé, aby ti původní tazatel vytunil konfiguraci  :o
Pokud porty vystrčí jen pro určité rozsahy IP adres nebo pro IP rozsahy celé ČR, pořád bude neviditelný před skenery typu shodan a tím pádem i před drtivou většinou útočníků. Osobně si takhle omezuju i dostupnost OpenVPN.

Re:Router a Server v jednom
« Odpověď #39 kdy: 05. 05. 2021, 09:10:15 »
Pokud porty vystrčí jen pro určité rozsahy IP adres nebo pro IP rozsahy celé ČR, pořád bude neviditelný před skenery typu shodan a tím pádem i před drtivou většinou útočníků. Osobně si takhle omezuju i dostupnost OpenVPN.

To je klasický omyl. Skrytí před útočníkem nezvyšuje bezpečnost. Příkladem jsou útoky do vnitřní sítě iniciované z prohlížeče, kdy dvířka otevírají NAT helpery. Před léty si taky nikdo neuměl představit, že by se dalo dovnitř dostat přes NAT a dodnes NAT někteří považují za bezpečný by default.

PanVP

Re:Router a Server v jednom
« Odpověď #40 kdy: 05. 05. 2021, 09:17:00 »
dodnes NAT někteří považují za bezpečný by default.

Přesně tak, pletou si NAT a firewall.
NAT - samozřejmě, do jisté míry / nějak - zesložiťuje útok, ale NAT není firewall.

Jak se někdy přeme, hlavě u politiky, tak v tomhle vám musím dát zapravdu a ocenit vaše profesionální kvality.

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:Router a Server v jednom
« Odpověď #41 kdy: 05. 05. 2021, 09:22:36 »
Vidíš, plno úvah a keců o hovnu a nakonec to funguje.

Svatá prostoto...

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:Router a Server v jednom
« Odpověď #42 kdy: 05. 05. 2021, 09:36:26 »
Vypada to na problemy s DNS, ale v dokumentacii pfsense sa uvazda  ze DNS je nastavene po instalacii v defaulte a nemusi sa nastavovat.

Ano, to je vysoce profesionální přístup. Ono nakonec vůbec není třeba nic nastavovat, stačí koupit čínskou krabku, narvat do ní 4 dráty a jede to taky, ne?

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:Router a Server v jednom
« Odpověď #43 kdy: 05. 05. 2021, 09:41:02 »
...pro IP rozsahy celé ČR...

A ty rozsahy ČR v dnešním adresním bordelu (předpokládám IPv4) berete odkud?

PanVP

Re:Router a Server v jednom
« Odpověď #44 kdy: 05. 05. 2021, 09:49:09 »
A ty rozsahy ČR v dnešním adresním bordelu (předpokládám IPv4) berete odkud?

Doplním, že některé krabičky umí IP origin resp. IP origin country check - alespoň pro HTTP/S služby.
V mém případě se FW pro neznámé rozsahy ptá řídícího prvku - dodavatele FW.
Je tam i pravidlo, po které době má rozhodnout sám.
Neznámé IP mají při navazování spojení měřitelné zpoždění v řádech 0.2-0.5s, ale jen při inicializaci, pak už ne.
Také to používám a zatím si nikdo nestěžoval, naopak počet útoků významně klesl.
Obejít se to samozřejmě dá, ale běžné roboty se nenamáhají.