Где Вы увидели в тексте утверждение что Port Knocking на RouterOS "штатный"? Было только утверждение что я его использую на RouterOS.
Большинство сканеров не сканируют все порты, это долго. Сканируют обычно по возрастанию. Проверял Nmap-м, OpenVas-м, Nessus-м. Можно по желанию слушать 3 порта, например 65000, 9999, 65003 и это уменьшит вероятность, попасть сканеру в правило. Если уж совсем заморочится, то можно миксовать TCP с UDP и ICMP, да еще и с разными длинами пакетов.
Вероятность что именно в тот самый момент когда пользователь хочет подключиться, сканируют именно один из двух портов, ничтожно мала. В крайнем случае пользователь еще раз постучится. На момент публикации статьи PortKnocer работал на нескольких серверах на протяжении 3-х недель и не возникло проблем.
Банить те IP которые постучались на первый, но не постучались на второй, так можно и своих забанить, вдруг пользователь прервал работу Knocker-а. Но идея имеет право на жизнь, обдумаю ее детальней.
За Port-Knocker у меня остались fail2ban-ы, НО т.к. событий в журнале Security стало на порядок меньше, он работает быстрее и меньше нагружает систему. Более точная информация: а) Cyberarms intrusion detection, до PortKnocking - cpu 5%, ram - 21mb. б) PortKnocking - cpu 0%, ram - 3mb. в) Cyberarms intrusion detection, после PortKnocking - cpu < 1%, ram - 21mb.
Да был у меня случаи когда 8 юзеров в командировке приезжают в отель, а один тупит с паролем, блочит IP отеля, страдают все 8, переезжают все 8 и ситуация повторяется, а добавлять постоянно IP и геморно и не вариант...
И юзеры сами себя блочат и добавляют головной боли админам.
различные fail2ban всегда требуют больше ресурсов, т.к. парсинг логов у сервера где мало ресурсов и много попыток подобрать пароль особенно ботнетом, модет нехило нагрузить сервак.
всегда есть вероятность что пользователь установил пароль который отвечает требованиям сложности, но есть во всех словарях, пример - Qwerty123!. Тогда первая попытка брутфорса может быть удачной.
Согласен, на хабре много способных специалистов, многие смогли бы. Но перед тем как начать разработку мы не нашли ничего похожего, тем более "в одном флаконе".
Небольшо обновление по DA
В чем же основные отличия версии DirectAccess в Windows Server 2012 / 2012 R2 от версии Windows 2008 R2. Основное отличие – снижение требований к смежной инфраструктуре. Так, например:
Сервер DirectAccess теперь не обязательно должен быть пограничным, теперь он может находиться за NAT.
В том случае, если в качестве удаленных клиентов используется Windows 8 Enterprise, разворачивать внутреннюю инфраструктуру PKI не обязательно (за аутентификацию клиентов будет отвечать Kerberos-прокси, расположенный на сервере DA)
Не обязательно стало наличие IPv6 во внутренней сети организации
Поддержка OTP (One Time Password) и NAP (Network Access Protection) без необходимости развёртывания UAG
Согласно http://technet.microsoft.com/ru-ru/network/cc987595.aspx без IP v6 не будут работать:
— DirectAccess
— HomeGroup in Windows 7
— Windows Meeting Space
На своем опыте столкнулся с проблемами при создании кластера при отключеном IP v6 (хотя IP v6 в сети не использовался).
Официальная рекомендация Microsoft — не отключать.
Microsoft:
Важно! Протокол Интернета версии 6 ( IPv6 ) является обязательной частью Windows Vista и более поздних версий. Не рекомендуется отключить IPv6 или его компонентов, или некоторые компоненты Windows могут не работать.Кроме того при запуске системы будет задержано на 5 секунд при отключении IPv6, задав параметр реестра DisabledComponents значения 0xfffffffнеправильно. Правильным значением должно быть значение 0xff. Дополнительные сведения см. на вопрос «Каковы рекомендации корпорации Майкрософт об отключении IPv6 ?» IPv6 для Microsoft Windows: вопросы и ответы
(http://technet.microsoft.com/en-us/network/cc987595.aspx)
Давайте еще информации по этой теме.
Правильно сделал. Б.у. Dell будет получше этого нового.
pihole, asterisk, simple web-server
Где Вы увидели в тексте утверждение что Port Knocking на RouterOS "штатный"? Было только утверждение что я его использую на RouterOS.
Большинство сканеров не сканируют все порты, это долго. Сканируют обычно по возрастанию. Проверял Nmap-м, OpenVas-м, Nessus-м. Можно по желанию слушать 3 порта, например 65000, 9999, 65003 и это уменьшит вероятность, попасть сканеру в правило. Если уж совсем заморочится, то можно миксовать TCP с UDP и ICMP, да еще и с разными длинами пакетов.
Вероятность что именно в тот самый момент когда пользователь хочет подключиться, сканируют именно один из двух портов, ничтожно мала. В крайнем случае пользователь еще раз постучится. На момент публикации статьи PortKnocer работал на нескольких серверах на протяжении 3-х недель и не возникло проблем.
Банить те IP которые постучались на первый, но не постучались на второй, так можно и своих забанить, вдруг пользователь прервал работу Knocker-а. Но идея имеет право на жизнь, обдумаю ее детальней.
За Port-Knocker у меня остались fail2ban-ы, НО т.к. событий в журнале Security стало на порядок меньше, он работает быстрее и меньше нагружает систему. Более точная информация: а) Cyberarms intrusion detection, до PortKnocking - cpu 5%, ram - 21mb. б) PortKnocking - cpu 0%, ram - 3mb. в) Cyberarms intrusion detection, после PortKnocking - cpu < 1%, ram - 21mb.
rds gateway + проверка по словарям, это уже не standalone сервер, а несколько серверов + active directory.
Да был у меня случаи когда 8 юзеров в командировке приезжают в отель, а один тупит с паролем, блочит IP отеля, страдают все 8, переезжают все 8 и ситуация повторяется, а добавлять постоянно IP и геморно и не вариант...
И юзеры сами себя блочат и добавляют головной боли админам.
различные fail2ban всегда требуют больше ресурсов, т.к. парсинг логов у сервера где мало ресурсов и много попыток подобрать пароль особенно ботнетом, модет нехило нагрузить сервак.
всегда есть вероятность что пользователь установил пароль который отвечает требованиям сложности, но есть во всех словарях, пример - Qwerty123!. Тогда первая попытка брутфорса может быть удачной.
Тоже неплохой вариант. Но апач поставить нужно, права настроить нужно и и чем больше ПО, тем больеше потенциально уязвимости.
Возможно политика вознагражения не идеальна, Ваше мнение будет учтено и политика будет пересмотрена.
Спасибо, за отзыв!
Никто не убеждает отказаться от zabbix, или любой другой системы мониторинга(SCOM, PRTG, Nagios, Cacti...).
Но :
если кому-то не нужен весь фукнионал zabbix-a
если в zabbix-е "из коробки" нет необходимого функционала, а потобного там точно нет
если zabbix кажется слишком сложным(встречал и такие мнения)
если просто нет времени\желания "разворачивать" zabbix
если нужна ЕЩЕ одна система мониторинга
То возможно бот будет полезен.
Что значит сам себя пригласил?
Согласен, на хабре много способных специалистов, многие смогли бы. Но перед тем как начать разработку мы не нашли ничего похожего, тем более "в одном флаконе".
Python, PostgreSQL.
Если честно не знаю какую техническую информацию тут добавить...
Все максимально просто. Достаточно попробовать.
Да и не только комерция, есть бесплатное кол-во проверок, которых может многим хватить.
Только вот HoneyBOT никак почту не хочет отправлять…
за HoneyBOT — спасибо!
Небольшо обновление по DA
В чем же основные отличия версии DirectAccess в Windows Server 2012 / 2012 R2 от версии Windows 2008 R2. Основное отличие – снижение требований к смежной инфраструктуре. Так, например:
Сервер DirectAccess теперь не обязательно должен быть пограничным, теперь он может находиться за NAT.
В том случае, если в качестве удаленных клиентов используется Windows 8 Enterprise, разворачивать внутреннюю инфраструктуру PKI не обязательно (за аутентификацию клиентов будет отвечать Kerberos-прокси, расположенный на сервере DA)
Не обязательно стало наличие IPv6 во внутренней сети организации
Поддержка OTP (One Time Password) и NAP (Network Access Protection) без необходимости развёртывания UAG
Согласно http://technet.microsoft.com/ru-ru/network/cc987595.aspx без IP v6 не будут работать:
— DirectAccess
— HomeGroup in Windows 7
— Windows Meeting Space
На своем опыте столкнулся с проблемами при создании кластера при отключеном IP v6 (хотя IP v6 в сети не использовался).
Официальная рекомендация Microsoft — не отключать.
Microsoft:
Важно! Протокол Интернета версии 6 ( IPv6 ) является обязательной частью Windows Vista и более поздних версий. Не рекомендуется отключить IPv6 или его компонентов, или некоторые компоненты Windows могут не работать.Кроме того при запуске системы будет задержано на 5 секунд при отключении IPv6, задав параметр реестра DisabledComponents значения 0xfffffffнеправильно. Правильным значением должно быть значение 0xff. Дополнительные сведения см. на вопрос «Каковы рекомендации корпорации Майкрософт об отключении IPv6 ?» IPv6 для Microsoft Windows: вопросы и ответы
(http://technet.microsoft.com/en-us/network/cc987595.aspx)
Вот скажите, как можно переход с LTS(3.0) на LTS(4.0), сделать через две промежуточные не LTS версии???