Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#21

В статье по ссылке написан бред.

Да, можно сделать подобную настройку, но защиты для винды от этого особо не прибавится. Проблема в том, что ни virtualbox ни vmware на виндовс-хосте не умеют полностью отдавать сетевую карту виртуальной машине эксклюзивно. Т.е. по сути в режиме "моста" карта делится между хостом и виртуалкой, причем аппаратно обслуживает ее именно хост. И потому она будет все равно доступна для атаки на сетевой стек винды на хосте. Даже если у винды на этой карте не будет сетевого IP адреса - более низкие уровни все равно открыты, широковещательные запросы тоже. То что в статье предлагается защитит только от совершенно дубовых атак на smb протокол. Для этого совершенно не нужно городить огород с этим виртуальным роутером, с ними и родной виндовый фаервол справится, если его не отключать.

Чтобы подобная схема работала - надо отдать реальную сетевую карту виртуальной машине эксклюзивно (проброс pci устройства). Под виндой ни vmware ни virtualbox этого сделать не могут - нет такой функции в них. Это умеет делать линуксовая версия vmware и vmware esx (та, что ставится на голое железо). Так же это может KVM (опять же под линукс). Под винду - увы.

В общем - то что предлагается, можно использовать разве что в учебных целях - разобраться, как выполняется конфиграция такого роутера. Т.е. тестовый полигон без дополнительных реальных железок. Но реально он защиты не добавляет.

#22

UPD: Такая схема имеет право на жизнь, если интернет вы получаете через USB модем или сетевую карту. Вот USB устройство можно выделить виртуальной машине монопольно без особых сложностей.

_R-S_ · #23

darkfenix писал(а): ↑
02 фев 2018, 19:30
От этой дряни только антивирус спасет, потому как 15 см броня ну никак не сможет спасти от зараженного файла пришедшего по почте или скачанного с сайта

Так, для этого и нужна ОС с линукс для серфа где попало

darkfenix писал(а): ↑
02 фев 2018, 19:30
А они то чего могут сделать? Настрой огненую стену по-человечески и хватит по самое не балуйся

Не хватит))

#24

_R-S_ писал(а): ↑
02 фев 2018, 19:55
ОС с линукс для серфа где попало

Т.е. вы считаете что этот ваш виндо-пользователь не попадет случайно на сайт, который закинет ему дряни, не скачает какой-нибудь файлик, сидя в инете с винды? Ох зря вы на это надеетесь (поверьте, я много чего повидал, обслуживая парк из 4000 машин на огромном заводе, и не такое проворачивают со словами "а это ни я, я ничего не трогал(а), оно само)

_R-S_ писал(а): ↑
02 фев 2018, 19:55
Не хватит

Ну это смотря как настраивать.

Unborn · #25

slant писал(а): ↑
02 фев 2018, 19:45
В общем - то что предлагается, можно использовать разве что в учебных целях - разобраться, как выполняется конфиграция такого роутера. Т.е. тестовый полигон без дополнительных реальных железок. Но реально он защиты не добавляет.

Это как возможность установить Линукс на флешку, своп в ОЗУ. Сделать то можно, но вот нужно ли?

slant писал(а): ↑
02 фев 2018, 19:49
UPD: Такая схема имеет право на жизнь, если интернет вы получаете через USB модем или сетевую карту. Вот USB устройство можно выделить виртуальной машине монопольно без особых сложностей.

Если свисток, то там за NAT ОПСОСа. Хомякам сейчас белые вряд ли дают.

#26

_R-S_, Все-таки твоя затея выглядит как набор копипаста с разных статей на тему секюрности, помешанных в кучу.
Ты сможешь сам себе хотя бы ответить, какую именно функцию в твоей вундервафле будет выполнять каждый из пунктов. И чем он будет полезен.
Мне вот совсем это неочевидно, глядя на этот джентльменский набор

Давай проговорим их, для ясности.

symon2014 · #27

Не по теме

Chocobo писал(а): ↑
02 фев 2018, 20:10
Давай проговорим их, для ясности.

Когда проговоришь , личный счётчик покажет четыре шестёрки , а тема станет ещё запутанней.

_R-S_ · #28

Chocobo писал(а): ↑
02 фев 2018, 20:10
Мне вот совсем это неочевидно, глядя на этот джентльменский набор Давай проговорим их, для ясности.

задача была следующая - повысить безопасность винды путем установки хорошего фаервола + добавить возможность пользователю выхода в нет с другой ОС, при одновременном использовании двух ОС. Что касается винды, то там заходы должны быть только на несколько сайтов. Что же касается Линукса, то там серф полный, мало того, в основном по непроверенным сайтам, возможно попадание на всякое типа фишинга, вредоноса и пр. Мало того, нужно было установить максимальный уровень безопасности как для Линукса в целом, так и для фаервола в частности. Возможны попытки отслеживания пользователя при серфе по этим опасным сайтам с последующими неприятными инцидентами и не только. Сразу возникла идея насчет шлюза для винды - полез шерстить сеть. Думаю теперь вот, после того, как схему зачмырили, что делать)) Как это все реализовать

_R-S_ · #29

Вообщем, шлюза не будет)))

#30

_R-S_ писал(а): ↑
02 фев 2018, 20:47
Мало того, нужно было установить максимальный уровень безопасности как для Линукса в целом, так и для фаервола в частности.

Для этого надо взять за аксиому, что линукс в исходном виде не безопасен, а файрволы потенциально уязвимы) Тогда бы мы тут все с касперскими давно сидели

Фаршировать хост непонятными но дико секюрными решениями - может, условно говоря, сыграть и обратный эффект. Хотя бы лишние сервисы, как точка отказа или новый вектор атаки

Не говоря о возможных просадках производительности i/o, цпу и сети.

_R-S_ писал(а): ↑
02 фев 2018, 20:47
Возможны попытки отслеживания пользователя при серфе по этим опасным сайтам с последующими неприятными инцидентами и не только.

В эту сторону - тебе не файрвол нужен, а торификация или впны за бугор.

#31

Unborn писал(а): ↑
02 фев 2018, 20:05
Если свисток, то там за NAT ОПСОСа. Хомякам сейчас белые вряд ли дают.

Я имел в виду ADSL модем. У нас тут, adsl достаточно частое еще явление, скажем. И белый ip на нем тоже. В usb варианте такие модемы тоже встречаются.

#32

Не по теме

slant писал(а): ↑
02 фев 2018, 21:43
У нас тут, adsl достаточно частое еще явление

Фигасе... Вроде город у вас не из маленьких

svtv1 · #33

_R-S_
Вот я тут, и не фига не понял. Ты боишься взлома своей ОС, поверь на это потребуются годы (на твоей систем включена система обновления безопасности и поверь, она меняет настройки, входа сторонних пользователей.)
,т.е., ни кто не сможет выполнить команду от root.

svtv1 · #34

Не, не пиво, но. ВОДКА ААААААА!!!!!!! Конечно шучу

Если, что не понял, спроси.

#35

Не по теме

di_mok писал(а): ↑
02 фев 2018, 22:54
Фигасе... Вроде город у вас не из маленьких

Местная специфика. Укртелеком - он у нас практически везде, фактически одно время был основным государственным оператором. А adsl - была его ставка в сфере интернета, в свое время, причем пожалуй весьма удачная из-за опять же специфики местной. Еще лет 5 назад это был самый популярный вариант, и по доступности покрытия и по ценам. При довольно неплохой скорости (на то время - 10-20 мегабит на прием, 1-5 на передачу, без ограничений на объем). С учетом того, что в нашем городе как минимум треть площади это частный сектор. Этакая окультренная деревня, в которою прокладывать оптику не выгодно - это не микрорайоны девятиэтажек подключать. Причем по стране такое много где есть, не только в нашем городе. Да и просто населенных пунктов сельского типа много, а интернет хочется не только в крупных городах. Так что adsl у нас тут живет и здравствует, или еще долго, я думаю, жить будет. Пока мобильная связь не станет как в японии, где в мобильники для местного рынка уже и Wi-Fi не ставят вроде как.

Так то в микрорайонах уже давно все на кабельных операторов перешли, безлимитный 100мбит это норма (без скрытых ограничений на объем), а кое-где и гигабит доступен.

svtv1 · #36

slant
Я снова не понял, какой на фиг город, ты в LM

Вчера, 20:05
Если свисток, то там за NAT ОПСОСа. Хомякам сейчас белые вряд ли дают.

Я имел в виду ADSL модем. У нас тут, adsl достаточно частое еще явление, скажем. И белый ip на нем тоже. В usb варианте такие модемы тоже встречаются.

В сети
Аватара пользователя

di_mok
Сообщения: 2826
Зарегистрирован: 27 авг 2016, 19:06
Решено: 19
Откуда: Арзамас
Благодарил (а): 705 раз
Поблагодарили: 438 раз
Темы пользователя: найти
Контактная информация: Контактная информация пользователя di_mok

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#32

Сообщение di_mok » Вчера, 22:54
Не по теме

slant писал(а): ↑
Вчера, 21:43
У нас тут, adsl достаточно частое еще явление

Фигасе... Вроде город у вас не из маленьких
Настоящая водка — это не пьянство, а ключ к своей совести, с нее-то и начинается настоящая мудрость. (c)

В сети
Аватара пользователя

svtv1
Сообщения: 148
Зарегистрирован: 26 дек 2017, 15:27
Решено: 2
Благодарил (а): 20 раз
Поблагодарили: 16 раз
Темы пользователя: найти
Контактная информация: Контактная информация пользователя svtv1

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#33

Сообщение svtv1 » Вчера, 23:56
_R-S_
Вот я тут, и не фига не понял. Ты боишься взлома своей ОС, поверь на это потребуются годы (на твоей систем включена система обновления безопасности и поверь, она меняет настройки, входа сторонних пользователей.)
,т.е., ни кто не сможет выполнить команду от root.
"Если достаточно долго сидеть возле реки - мимо проплывет труп твоего врага"

В сети
Аватара пользователя

svtv1
Сообщения: 148
Зарегистрирован: 26 дек 2017, 15:27
Решено: 2
Благодарил (а): 20 раз
Поблагодарили: 16 раз
Темы пользователя: найти
Контактная информация: Контактная информация пользователя svtv1
Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво
#34
Сообщение svtv1 » Сегодня, 00:03
Не, не пиво, но. ВОДКА ААААААА!!!!!!! Конечно шучу

Если, что не понял, спроси.

"Если достаточно долго сидеть возле реки - мимо проплывет труп твоего врага"
В сети
Аватара пользователя
slant
Сообщения: 567
Зарегистрирован: 21 июн 2017, 18:09
Решено: 6
Благодарил (а): 1 раз
Поблагодарили: 201 раз
Темы пользователя: найти
Контактная информация: Контактная информация пользователя slant

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво
#35
Непрочитанное сообщение slant » 3 минуты назад
Не по теме
di_mok писал(а): ↑
Вчера, 22:54
Фигасе... Вроде город у вас не из маленьких
Местная специфика. Укртелеком - он у нас практически везде, фактически одно время был основным государственным оператором. А adsl - была его ставка в сфере интернета, в свое время, причем пожалуй весьма удачная из-за опять же специфики местной. Еще лет 5 назад это был самый популярный вариант, и по доступности покрытия и по ценам. При довольно неплохой скорости (на то время - 10-20 мегабит на прием, 1-5 на передачу, без ограничений на объем). С учетом того, что в нашем городе как минимум треть площади это частный сектор. Этакая окультренная деревня, в которою прокладывать оптику не выгодно - это не микрорайоны девятиэтажек подключать. Причем по стране такое много где есть, не только в нашем городе. Да и просто населенных пунктов сельского типа много, а интернет хочется не только в крупных городах. Так что adsl у нас тут живет и здравствует, или еще долго, я думаю, жить будет. Пока мобильная связь не станет как в японии, где в мобильники для местного рынка уже и Wi-Fi не ставят вроде как.
Так то в микрорайонах уже давно все на кабельных операторов перешли, безлимитный 100мбит это норма (без скрытых ограничений на объем), а

Не в некрупных городах, ну и иже с ними.
ОС на Linux, систем которая делалась под многопользовательский режим, и поэтому изначально просит пароль, каждого входящего зарегестрируем в ней пользователя (см. root and grop)

Кто сейчас на конференции