Сообщений в теме: 2146

[Andrey_3]

У меня возникли вопросы по безопасности для всех этих игрушек. У меня настроен доступ к Dune HD Max и по SMB и по NFS (с помощью Hanewin NFS). Дюна подлкючена Ethernet-ом. В итоге получаем, что любой человек, подключившийся к моей сети wi-fi даже по простому мобильному телефону, стоя например за дверью, может спокойно лазить по моей Дюне и просматривать все файлы и видео (через ES проводник - для андройда, для эпла не знаю). А если у меня есть расшаренные папки на компьютере, то то же самое можно делать и на компьютере. Я даже все шары на компе удалил когда это обнаружил.

Я списался с создателем Hanewin NFS, в самой этой программе пароль поставить нельзя, т.к. это протокол, а не средство управления доступом (как он мне ответил).

Интересно, мне одному кажется, что это какая то дырявая с точки зрения безопасности конструкция? Как всё это дополнительно запаролить? Wi-fi запаролен, да, но мне кажется одного пароля на wi-fi здесь не достаточно.

P.S. Я пытался запаролить SMB шары. Выставил для этого в настройках сети "включить общий доступ с парольной защитой". В дюне в качестве логина вбивал имя юзера на компьютере и его же пароль. Не получается подлкючаться с паролем у меня. Как настроить подключение по SMB с паролем?

1) Если Wi-Fi (WPA2-Personal/AES) Вам кажется недостаточным для безопасности, то можно попробовать, если Ваш роутер позволяет, поднять на нём гостевую сеть Wi-Fi, а основную Wi-Fi сеть отключить вовсе, таким образом ограничив доступ клиентов Wi-Fi ко всем устройствам в локальной сети.

2) Есть шутливая расшифровка аббревиатуры NFS - "No File Security". Доступ по NFS с паролем обеспечивается в связке nfsv4+kerberos+LDAP, но это, очевидно, не для домашнего использования.

[mr_bird]

1) Если Wi-Fi (WPA2-Personal/AES) Вам кажется недостаточным для безопасности, то можно попробовать, если Ваш роутер позволяет, поднять на нём гостевую сеть Wi-Fi, а основную Wi-Fi сеть отключить вовсе, таким образом ограничив доступ клиентов Wi-Fi ко всем устройствам в локальной сети.

2) Есть шутливая расшифровка аббревиатуры NFS - "No File Security". Доступ по NFS с паролем обеспечивается в связке nfsv4+kerberos+LDAP, но это, очевидно, не для домашнего использования.

Спасибо. Гостевая сеть это идея.

[xfilles]

Что только не делал, всё в пустую. А помогла такая мелочь на которую и внимания не обращал.

Просто изменил имя компа. После названия на латинице, убрал "-ПК". И Вуаля  

[Def461]

Года три пишем: НЕ НУЖНО НАЦИОНАЛЬНЫХ СИМВОЛОВ в имени компа.

[denik79]

Спасибо. Гостевая сеть это идея.

Вы конечно извените меня, но помоему у вас параноя.Если вы поставите на Wi-Fi WAP2 сложный пароль (Большие,маленькие буквы символы и цифры)то для того чтоб взломать такой пароль понадобится лет 200 без преувеличения.Самое главное защитить локальную сеть из вне,а внутри не нужно ничего выдумывать это только усложнит работу в локальной сети и лишнее шифрование никому не нужно.Приведу вам пример у меня на работе 400 машин в домене естественно есть фаервол (Forti Gate) который стоит перед локалкой он же роутер,антивирус на машинах и т.д. при этом фаервол windows отключен на всех машинах потому что он не нужен более того он мешает.
P.s Чтоб подключится к диску на компе его необязательно расшаривать,достаточно по smb \\ip или имя компа\буква диска$ ну и естественно логин и пароль.

[Steve]

denik79. Эпично Соглашусть только с одной сентенцией: что для домашних нужд WPA2 с фиксированным ключом - более чем достаточно. А всё остальное, Вами написанное, простите, дичайший ламеризм.

[denik79]

denik79. Эпично Соглашусть только с одной сентенцией: что для домашних нужд WPA2 с фиксированным ключом - более чем достаточно. А всё остальное, Вами написанное, простите, дичайший ламеризм.

Возможно я не правильно изьяснился я имел ввиду что фаервол на машинах и серверах отключен только для сети домена все остальное включено и перед тем как писать про "ламеризм" потрудитесь почитать хотя бы кто такой этот Forti Gate.

[Steve]

_{Возможно я не правильно изьяснился я имел ввиду что фаервол на машинах и серверах отключен только для сети домена все остальное включено и перед тем как писать про "ламеризм" потрудитесь почитать хотя бы кто такой этот Forti Gate.}

<sub>Это Вы партнеру Fortinet-а советуете "почитать"? Спасибо, как всегда получил заряд бодрости.
Могу в режиме Ванги предположить, что стоит 60ка или 80ка с просроченными лицензиями и недонастроенными правилами

В который раз прошу форумчан не начинать "технические прения" и "нетехнические чтения" на темы, которые только слышали краем уха</sub>

[denik79]

_{Это Вы партнеру Fortinet-а советуете "почитать"? Спасибо, как всегда получил заряд бодрости.
Могу в режиме Ванги предположить, что стоит 60ка или 80ка с просроченными лицензиями и недонастроенными правилами
В который раз прошу форумчан не начинать "технические прения" и "нетехнические чтения" на темы, которые только слышали краем уха}

Какой то вы негативный человек,с чего вы взяли что у меня просроченные лицензии? возможно там где вы живёте такое практикуют но там где я живу у нас с этим очень строго да и режим Ванги вас тоже подвёл,так что наверное мы закончим этот разговор он к этой теме не имеет отношения и давайте Вы свои сети будете конфигурировать как вы хотите,а я свои как я знаю.Удачи.
P.s Если вы такой технически "грамматный" человек то должны понимать что для фирмы в 400 машин и около 30 серверов 60-ки 80-ки не подойдут ,мы пользуемся 310-ми естественно в HA.

[Def461]

Вы неудачно "кинули пальцы", а я оказался "негативным человеком" Вот какое прекрасное разделение труда

Почти как в квартирнике Псоя Короленко с Наташей Беленькой получилось.

 

Давайте без "давайте"? Вам просто не следовало начинать разговор на тему безопасности в корпоративной сети, а так же выдавать откровенно вредные советы обычным пользователям Дуни.

 

Как технически "грамматный" могу рассказать (и показать) минимум 2 варианта проникновения в .local через WiFI с WPA2 шифрованием на точках без Радиуса с бриджом в локалку и минимум 2 варианта инфицирования Windows 7 с отключенным брандмауэром и с обычным чистым антивирусом. Вопрос исключительно квалификации интрудера.

 

Я уж не говорю про "человеческий фактор" и про привнесенную в локалку флешку с трояном через внутреннюю рабочую станцию.

Я второй день пытаюсь понять, каким образом настроенный брандмауэр может чему-то мешать? Даже в Винде.

 

"Не сотвори себе кумира и всякаго подобия"

[DuneHelp]

киньте в личку мне для общего развития

[denik79]

Вы неудачно "кинули пальцы", а я оказался "негативным человеком" Вот какое прекрасное разделение труда

Почти как в квартирнике Псоя Короленко с Наташей Беленькой получилось.

 

Давайте без "давайте"? Вам просто не следовало начинать разговор на тему безопасности в корпоративной сети, а так же выдавать откровенно вредные советы обычным пользователям Дуни.

 

 

Я уж не говорю про "человеческий фактор" и про привнесенную в локалку флешку с трояном через внутреннюю рабочую станцию.

Я второй день пытаюсь понять, каким образом настроенный брандмауэр может чему-то мешать? Даже в Винде.

 

"Не сотвори себе кумира и всякаго подобия"

Во первых я не пойму с кем я веду беседу со Steve или с Def461? Я думал что правила форума запрещают делать клонов,да и для чего это обычному "граммматнаму"пользователю делать клонов....?

Во вторых не надо показывать что вы умнее всех вы таким не являетесь.

В третих любой здравомыслящий человек вам скажет что при наличии антивируса с фаерволом в корпоративной сети надобность в фаерволе винды отпадает т.к всё администрирование ролей ативиря,фаервола и т.д происходит непосредственно на сервере и этот самый сервер меня избавляет от дополнительной групповой политики и головной боли.

И давайте прекратим этот спор всё равно каждый останется при своём.

 

 

Как технически "грамматный" могу рассказать (и показать) минимум 2 варианта проникновения в .local через WiFI с WPA2 шифрованием на точках без Радиуса с бриджом в локалку и минимум 2 варианта инфицирования Windows 7 с отключенным брандмауэром и с обычным чистым антивирусом. Вопрос исключительно квалификации интрудера.

Очень хотелось бы в этот раз получить от вас пруф.Спасибо

[Def461]

В этот раз получить пруф?  

 

Любой здравомыслящий человек (читайте "IT-специалист") не будет размыто давать советы из области корпоративной сети для обычного домашнего пользователя, особенно если его "совет" может быть неправильно истолкован и привести к беде.

 

Про "во-вторых" - улыбнуло. Я ничего никому не показываю и не доказываю. Я просто прошу либо учиться говорить по теме и технически грамотно, либо не давать советы в принципе. Кто из нас "демонстрировал ум" - видно в сообщении №847 по пафосной фразе "потрудитесь почитать хотя бы кто такой этот Forti Gate".

 

В третьих "про здравомыслящих"  и третий метод демагогии. При любом раскладе групповая политика (и не одна) была, есть и "будет есть", и данная аксиома никоим образом не влияет на работоспособность системы в целом. И вопрос отключения или включения встроенного брандмауэра в корпоративной сети зависит исключительно от рекомендаций производителя IDS/антивируса, а не лени "системного обменистратора".

 

 

киньте в личку мне для общего развития

Стучитесь в скайп, покажу, поясню.

[denik79]

И пруфа во второй раз тоже не будет? Ну и бог с ним,главное же то что Вы правы а мы тут так....поскольку-постольку.Удачи.

[Def461]

И пруфа во второй раз тоже не будет? Ну и бог с ним,главное же то что Вы правы а мы тут так....поскольку-постольку.Удачи.

Во второй? 

Что Вам показать? Как происходит инжект со спуфингом MAC в WPA2 сети с прекрасным хождением более 30% пакетов от интрудера  через чужой роутер с расстояния 300 метров до AP?

Или как падает iSCSI таргет при недостатке памяти (BSD на 512RAM с одним таргетом и потоком в 80Мбит на единичный винт)?

 

^{Всё пытаюсь понять, почему Вы пытаетесь даже в недостатке своих профильных знаний обвинить меня? Я должен Вас чему-то учить и что-то доказывать, причем даже те вещи, которые известны студентам 2-3 курса в профильном институте?}

[DuneHelp]

ну киньте пруф в личку не жадничайте я не буду ни с кем делиться ))))))

[denik79]

Во второй? 

Что Вам показать? Как происходит инжект со спуфингом MAC в WPA2 сети с прекрасным хождением более 30% пакетов от интрудера  через чужой роутер с расстояния 300 метров до AP?

Или как падает iSCSI таргет при недостатке памяти (BSD на 512RAM с одним таргетом и потоком в 80Мбит на единичный винт)?

 

^{Всё пытаюсь понять, почему Вы пытаетесь даже в недостатке своих профильных знаний обвинить меня? Я должен Вас чему-то учить и что-то доказывать, причем даже те вещи, которые известны студентам 2-3 курса в профильном институте?}

Я Вас абсолютно не в чём не пытаюсь обвинить,я просто попросил помощи с подбором более подходящего пакета iSCSI таргет для дуни и объяснения  установки онного, но в место ответа я получил не то что ожидал,возможно таргет упадёт и при меньшей скорости и я не говорю что Вы не правы, но я хочу это увидеть лично (или кто то уже делал этот эксперимент на дюне?) и если с дуней что то случится естественно никого в этом обвинять не собираюсь теперь Вы понимаете разницу в моём "дурацком"вопросе и вашем ответе.По поводу WPA2 мне просто интересно для себя знать как это можно сделать и не более, хотя мне кажется что если SSID не будет транслироваться и в момент снифа не будет подключенных клиентов то к такому AP не реально подключится поправьте если не так.

[Def461]

По поводу WPA2 мне просто интересно для себя знать как это можно сделать и не более, хотя мне кажется что если SSID не будет транслироваться и в момент снифа не будет подключенных клиентов то к такому AP не реально подключится поправьте если не так.

Отвечено в  ЛС

 

 

ну киньте пруф в личку не жадничайте я не буду ни с кем делиться ))))))

Тоже отвечено в ЛС

[Petrovich_]

Приветствую
есть dune hd-102 - настроен для приёма IPTV внутренний IP 192.168.1.134 , но себя дюна в сети видит с внешним IP 
роутер asus rt-n66 
куча компов в сети, ни один не может ни пингануть дюну, не влезть на диск, подключенный к дюне никак! ни по внутреннему, ни по какому IP или по имени - никак
в ТП rinet.net (мой провайдер) утверждают, что нереально подключить, мол такая прошивка у них...
MBS сервер на люне работает, папки расшаривал, нет результата

сама дюна так же не видит ничего из сети

дико неудобно носить фильмы для просмотра физически на внешнем устройстве от одного компьюетра к дюне - ноги не несут

танцевал с бубном долго, но видимо, танец не о том

ЗЫ 
прошу прощения, если аналогичная проблема поднималась, поиск по форуму не дал результата

[sanyaba]

Надо на дюне создать сетевую папку, название папки как на ПК и прописать ip ПК, у меня то же через приложение smb не видит.