Нет. Такого не произойдет. Порт 3389 отвечает только адресам из списка. Вы не в списке и вам не ответит. Поэтому такой атакой (syn на все порты) вы ничего не добавьтесь. Будет или timeout или packet drop.
Вы не до конца поняли суть порт-кнокинга.
Суть в том, что порт ВСЕГДА открыт, но только адресам из списка. Задача противника попасть в список. Представьте, что твы очно знаете, что работает 3389 порт, но как попасть в список валидных адресов?
На счёт двуфактрности, логина, сложности и того и другого — это все не так просто и дёшево реализовать. Мы говорим о недорогом и стойком решении.
По порт-кнокингу:
Да, у меня была такая схема "веб+авторизация", но я отказался в пользу "ярлык на рабочем столе".
И вот почему: веб по-сути тоже дыра. Пользователь должен куда-то заходить, что-то делать. Сложные пароли на вебе — тоже фигня. Пароли нужно менять, пользователи у меня как и у вас все с амнезией. Короче ерунда.
Ярлык — как бетон. Его можно настроить индивидуально, в правилах фаервол нет нагрузки и прочее, его можно высылать по почте и у пользователя хватает мозгов сохранить на рабочий стол и запустить. Порт-кнокинг считаю лучшая защита против скана портов.
В общем как-то так.
Ок. Вы забили гвоздь и срезали шляпку.
Да, я знаю, что ботовладельцы пользуются динамическими пулами и даже автоматом ребутают хосты чтобы сменился адрес, да я знаю, что резать сетями не есть совсем-совсем правильно и бла-бла-бла.
Вопрос в другом: вы не предложили альтернативу, но сказали, что "все плохо". А конструктив диалога где?
Я считаю, что сетями можно и нужно резать. Даю 100% вероятность, что по ssh или любому другому менеджмент протоколу к домашнему роутеру или роутеру компании не должно быть доступа из Кореи, Китая или любой другой страны кроме страны владельца.
И в-третьих, я читал, что правило "дропать" следует ставить для 100% направлений. В остальном я считаю, что выходом может служить лишь port-knocking.
На счет «идея статьи honeypot» — да как-бы мысль не нова, первое время отлично работает, но я уже с таким экспериментировал и результат повергает в размышления. С одной стороны схема отличная, но с другой списки только пухнут и наступит время когда оборудование 100% ляжет. Да и до этого времени уже начнутся вопросики «чего все так медленно при том что на роутере никого», а ответ простой ОЧЕНЬ длинные листы. Я сейчас делаю (решение не готово еще пока) «ежедневное упорядочивание листов» — т.е. анализ и группировка адресов с тем чтобы вырезать уже не отдельными адресами, а сетями.
Что касается port knocking, ИМХО, лучше сделать по-другому. Сделайте условие: Если тип пакета ping и размер пакета Х, то занести src адрес в список доверенных на 1 минуту. У пользователя создайте ярлык "ping -n 1 — l X ip.address.server"
Что получим? Пользователь с любого места может внести себя в доверенный список и сразу зайти на сервис. Через минуту доступ закроется. Т.к. сессия established он будет висеть и работать, остальные в лес.
Таким образом у добросовестного издателя должен быть метод (например программа) который даст ответ на вопрос: Данное судоку имеет только один вариант решения? И если 1, то в тираж. Я так понимаю, что сейчас издатель мягко говоря "не замарачивается". Ну да ладно. Это не относится к статье. Вам спасибо, статья интересная и поучительная.
А вы задавались вопросом: Всегда ли в каждой конкретной исходной задаче есть всегда один правильный ответ? Я не силен так математике как вы, но когда занимался с ребёнком программированием чуть в сторону от школьной программы, то применял конечно же простой перебор. Так вот если начинать с 1 или с 9 подбирать, то попадались задачи из газет и журналов где было два решения. Смотря с какой цифры начинать подбирать.
Статья слабая.
Нет. Такого не произойдет. Порт 3389 отвечает только адресам из списка. Вы не в списке и вам не ответит. Поэтому такой атакой (syn на все порты) вы ничего не добавьтесь. Будет или timeout или packet drop.
Стоп стоп стоп. И что даст nmap?
Вы не до конца поняли суть порт-кнокинга.
Суть в том, что порт ВСЕГДА открыт, но только адресам из списка. Задача противника попасть в список. Представьте, что твы очно знаете, что работает 3389 порт, но как попасть в список валидных адресов?
На счёт двуфактрности, логина, сложности и того и другого — это все не так просто и дёшево реализовать. Мы говорим о недорогом и стойком решении.
По порт-кнокингу:
Да, у меня была такая схема "веб+авторизация", но я отказался в пользу "ярлык на рабочем столе".
И вот почему: веб по-сути тоже дыра. Пользователь должен куда-то заходить, что-то делать. Сложные пароли на вебе — тоже фигня. Пароли нужно менять, пользователи у меня как и у вас все с амнезией. Короче ерунда.
Ярлык — как бетон. Его можно настроить индивидуально, в правилах фаервол нет нагрузки и прочее, его можно высылать по почте и у пользователя хватает мозгов сохранить на рабочий стол и запустить. Порт-кнокинг считаю лучшая защита против скана портов.
В общем как-то так.
Ок. Вы забили гвоздь и срезали шляпку.
Да, я знаю, что ботовладельцы пользуются динамическими пулами и даже автоматом ребутают хосты чтобы сменился адрес, да я знаю, что резать сетями не есть совсем-совсем правильно и бла-бла-бла.
Вопрос в другом: вы не предложили альтернативу, но сказали, что "все плохо". А конструктив диалога где?
Я считаю, что сетями можно и нужно резать. Даю 100% вероятность, что по ssh или любому другому менеджмент протоколу к домашнему роутеру или роутеру компании не должно быть доступа из Кореи, Китая или любой другой страны кроме страны владельца.
И в-третьих, я читал, что правило "дропать" следует ставить для 100% направлений. В остальном я считаю, что выходом может служить лишь port-knocking.
Ну не всегда руководство выбирает путь сокращения админа/зарплаты. Есть, конечно, придурки, но здравомыслящих больше
Что касается port knocking, ИМХО, лучше сделать по-другому. Сделайте условие: Если тип пакета ping и размер пакета Х, то занести src адрес в список доверенных на 1 минуту. У пользователя создайте ярлык "ping -n 1 — l X ip.address.server"
Что получим? Пользователь с любого места может внести себя в доверенный список и сразу зайти на сервис. Через минуту доступ закроется. Т.к. сессия established он будет висеть и работать, остальные в лес.
Я что-то не понял что автор имеет ввиду когда речь была о CentOS и docker/k8s. Что "не умеет" CentOS?
Разве raspberry 4b имеет проблему с запуском с USB?
Согласен. На такое объявление скорее откликнется мошенник.
Таким образом у добросовестного издателя должен быть метод (например программа) который даст ответ на вопрос: Данное судоку имеет только один вариант решения? И если 1, то в тираж. Я так понимаю, что сейчас издатель мягко говоря "не замарачивается". Ну да ладно. Это не относится к статье. Вам спасибо, статья интересная и поучительная.
А вы задавались вопросом: Всегда ли в каждой конкретной исходной задаче есть всегда один правильный ответ? Я не силен так математике как вы, но когда занимался с ребёнком программированием чуть в сторону от школьной программы, то применял конечно же простой перебор. Так вот если начинать с 1 или с 9 подбирать, то попадались задачи из газет и журналов где было два решения. Смотря с какой цифры начинать подбирать.