Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Для начала воспользуйтесь поиском форума. 2. Укажите версию ОС вместе с разрядностью. Пример: LM 19.3 x64, LM Sarah x32 3. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 4. Какое железо. (достаточно вывод inxi -Fxz в спойлере (как пользоваться спойлером смотрим здесь)) или же дать ссылку на hw-probe 5. Суть. Желательно с выводом консоли, логами. 6. Скрин. Просьба указывать 2, 3 и 4 независимо от того, имеет ли это отношение к вопросу или нет. Так же не забываем об общих правилах Как пример вот
Аватара пользователя

slant
Сообщения: 4469
Зарегистрирован: 21 июн 2017, 18:09
Решено: 95
Благодарил (а): 51 раз
Поблагодарили: 1966 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#21

02 фев 2018, 19:45

В статье по ссылке написан бред.

Да, можно сделать подобную настройку, но защиты для винды от этого особо не прибавится. Проблема в том, что ни virtualbox ни vmware на виндовс-хосте не умеют полностью отдавать сетевую карту виртуальной машине эксклюзивно. Т.е. по сути в режиме "моста" карта делится между хостом и виртуалкой, причем аппаратно обслуживает ее именно хост. И потому она будет все равно доступна для атаки на сетевой стек винды на хосте. Даже если у винды на этой карте не будет сетевого IP адреса - более низкие уровни все равно открыты, широковещательные запросы тоже. То что в статье предлагается защитит только от совершенно дубовых атак на smb протокол. Для этого совершенно не нужно городить огород с этим виртуальным роутером, с ними и родной виндовый фаервол справится, если его не отключать.

Чтобы подобная схема работала - надо отдать реальную сетевую карту виртуальной машине эксклюзивно (проброс pci устройства). Под виндой ни vmware ни virtualbox этого сделать не могут - нет такой функции в них. Это умеет делать линуксовая версия vmware и vmware esx (та, что ставится на голое железо). Так же это может KVM (опять же под линукс). Под винду - увы.

В общем - то что предлагается, можно использовать разве что в учебных целях - разобраться, как выполняется конфиграция такого роутера. Т.е. тестовый полигон без дополнительных реальных железок. Но реально он защиты не добавляет.

Аватара пользователя

slant
Сообщения: 4469
Зарегистрирован: 21 июн 2017, 18:09
Решено: 95
Благодарил (а): 51 раз
Поблагодарили: 1966 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#22

02 фев 2018, 19:49

UPD: Такая схема имеет право на жизнь, если интернет вы получаете через USB модем или сетевую карту. Вот USB устройство можно выделить виртуальной машине монопольно без особых сложностей.

no avatar

Автор темы
_R-S_
Сообщения: 158
Зарегистрирован: 01 фев 2018, 20:36
Благодарил (а): 49 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#23

02 фев 2018, 19:55

darkfenix писал(а):
02 фев 2018, 19:30
От этой дряни только антивирус спасет, потому как 15 см броня ну никак не сможет спасти от зараженного файла пришедшего по почте или скачанного с сайта
Так, для этого и нужна ОС с линукс для серфа где попало
darkfenix писал(а):
02 фев 2018, 19:30
А они то чего могут сделать? Настрой огненую стену по-человечески и хватит по самое не балуйся
Не хватит))

Аватара пользователя

rogoznik
Сообщения: 10015
Зарегистрирован: 27 июн 2017, 13:36
Решено: 128
Откуда: Нижний Тагил
Благодарил (а): 776 раз
Поблагодарили: 1950 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#24

02 фев 2018, 20:03

_R-S_ писал(а):
02 фев 2018, 19:55
ОС с линукс для серфа где попало
Т.е. вы считаете что этот ваш виндо-пользователь не попадет случайно на сайт, который закинет ему дряни, не скачает какой-нибудь файлик, сидя в инете с винды? Ох зря вы на это надеетесь (поверьте, я много чего повидал, обслуживая парк из 4000 машин на огромном заводе, и не такое проворачивают со словами "а это ни я, я ничего не трогал(а), оно само)
_R-S_ писал(а):
02 фев 2018, 19:55
Не хватит
Ну это смотря как настраивать.
ИзображениеИзображение

Аватара пользователя

Unborn
Сообщения: 1920
Зарегистрирован: 03 сен 2016, 13:36
Решено: 24
Благодарил (а): 5 раз
Поблагодарили: 264 раза
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#25

02 фев 2018, 20:05

slant писал(а):
02 фев 2018, 19:45
В общем - то что предлагается, можно использовать разве что в учебных целях - разобраться, как выполняется конфиграция такого роутера. Т.е. тестовый полигон без дополнительных реальных железок. Но реально он защиты не добавляет.
Это как возможность установить Линукс на флешку, своп в ОЗУ. Сделать то можно, но вот нужно ли?
slant писал(а):
02 фев 2018, 19:49
UPD: Такая схема имеет право на жизнь, если интернет вы получаете через USB модем или сетевую карту. Вот USB устройство можно выделить виртуальной машине монопольно без особых сложностей.
Если свисток, то там за NAT ОПСОСа. Хомякам сейчас белые вряд ли дают.

Аватара пользователя

Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#26

02 фев 2018, 20:10

_R-S_, Все-таки твоя затея выглядит как набор копипаста с разных статей на тему секюрности, помешанных в кучу.
Ты сможешь сам себе хотя бы ответить, какую именно функцию в твоей вундервафле будет выполнять каждый из пунктов. И чем он будет полезен.
Мне вот совсем это неочевидно, глядя на этот джентльменский набор :hoho: Давай проговорим их, для ясности. :blink:
Изображение
   
Изображение

Аватара пользователя

symon2014
Сообщения: 5924
Зарегистрирован: 16 дек 2017, 21:59
Решено: 36
Откуда: Феодосия
Благодарил (а): 32 раза
Поблагодарили: 747 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#27

02 фев 2018, 20:14

Не по теме
Chocobo писал(а):
02 фев 2018, 20:10
Давай проговорим их, для ясности.
Когда проговоришь , личный счётчик покажет четыре шестёрки , а тема станет ещё запутанней. :hoho:

no avatar

Автор темы
_R-S_
Сообщения: 158
Зарегистрирован: 01 фев 2018, 20:36
Благодарил (а): 49 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#28

02 фев 2018, 20:47

Chocobo писал(а):
02 фев 2018, 20:10
Мне вот совсем это неочевидно, глядя на этот джентльменский набор Давай проговорим их, для ясности.
задача была следующая - повысить безопасность винды путем установки хорошего фаервола + добавить возможность пользователю выхода в нет с другой ОС, при одновременном использовании двух ОС. Что касается винды, то там заходы должны быть только на несколько сайтов. Что же касается Линукса, то там серф полный, мало того, в основном по непроверенным сайтам, возможно попадание на всякое типа фишинга, вредоноса и пр. Мало того, нужно было установить максимальный уровень безопасности как для Линукса в целом, так и для фаервола в частности. Возможны попытки отслеживания пользователя при серфе по этим опасным сайтам с последующими неприятными инцидентами и не только. Сразу возникла идея насчет шлюза для винды - полез шерстить сеть. Думаю теперь вот, после того, как схему зачмырили, что делать)) Как это все реализовать

no avatar

Автор темы
_R-S_
Сообщения: 158
Зарегистрирован: 01 фев 2018, 20:36
Благодарил (а): 49 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#29

02 фев 2018, 20:50

Вообщем, шлюза не будет)))

Аватара пользователя

Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#30

02 фев 2018, 21:09

_R-S_ писал(а):
02 фев 2018, 20:47
Мало того, нужно было установить максимальный уровень безопасности как для Линукса в целом, так и для фаервола в частности.
Для этого надо взять за аксиому, что линукс в исходном виде не безопасен, а файрволы потенциально уязвимы) Тогда бы мы тут все с касперскими давно сидели :hoho:
Фаршировать хост непонятными но дико секюрными решениями - может, условно говоря, сыграть и обратный эффект. Хотя бы лишние сервисы, как точка отказа или новый вектор атаки :) Не говоря о возможных просадках производительности i/o, цпу и сети.
_R-S_ писал(а):
02 фев 2018, 20:47
Возможны попытки отслеживания пользователя при серфе по этим опасным сайтам с последующими неприятными инцидентами и не только.
В эту сторону - тебе не файрвол нужен, а торификация или впны за бугор.
Изображение
   
Изображение

Аватара пользователя

slant
Сообщения: 4469
Зарегистрирован: 21 июн 2017, 18:09
Решено: 95
Благодарил (а): 51 раз
Поблагодарили: 1966 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#31

02 фев 2018, 21:43

Unborn писал(а):
02 фев 2018, 20:05
Если свисток, то там за NAT ОПСОСа. Хомякам сейчас белые вряд ли дают.
Я имел в виду ADSL модем. У нас тут, adsl достаточно частое еще явление, скажем. И белый ip на нем тоже. В usb варианте такие модемы тоже встречаются.

Аватара пользователя

di_mok
Сообщения: 5469
Зарегистрирован: 27 авг 2016, 19:06
Решено: 32
Откуда: Арзамас
Благодарил (а): 1593 раза
Поблагодарили: 1276 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#32

02 фев 2018, 22:54

Не по теме
slant писал(а):
02 фев 2018, 21:43
У нас тут, adsl достаточно частое еще явление
Фигасе... Вроде город у вас не из маленьких
Настоящая водка — это не пьянство, а ключ к своей совести, с нее-то и начинается настоящая мудрость. (c)
Изображение

Аватара пользователя

svtv1
Сообщения: 278
Зарегистрирован: 26 дек 2017, 15:27
Решено: 2
1
Благодарил (а): 39 раз
Поблагодарили: 23 раза

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#33

02 фев 2018, 23:56

_R-S_
Вот я тут, и не фига не понял. Ты боишься взлома своей ОС, поверь на это потребуются годы (на твоей систем включена система обновления безопасности и поверь, она меняет настройки, входа сторонних пользователей.)
,т.е., ни кто не сможет выполнить команду от root.
"Если достаточно долго сидеть возле реки - мимо проплывет труп твоего врага"

Аватара пользователя

svtv1
Сообщения: 278
Зарегистрирован: 26 дек 2017, 15:27
Решено: 2
1
Благодарил (а): 39 раз
Поблагодарили: 23 раза

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#34

03 фев 2018, 00:03

Не, не пиво, но. ВОДКА ААААААА!!!!!!! Конечно шучу :blum: Если, что не понял, спроси. :smile:
"Если достаточно долго сидеть возле реки - мимо проплывет труп твоего врага"

Аватара пользователя

slant
Сообщения: 4469
Зарегистрирован: 21 июн 2017, 18:09
Решено: 95
Благодарил (а): 51 раз
Поблагодарили: 1966 раз
Контактная информация:

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#35

03 фев 2018, 01:18

Не по теме
di_mok писал(а):
02 фев 2018, 22:54
Фигасе... Вроде город у вас не из маленьких
Местная специфика. Укртелеком - он у нас практически везде, фактически одно время был основным государственным оператором. А adsl - была его ставка в сфере интернета, в свое время, причем пожалуй весьма удачная из-за опять же специфики местной. Еще лет 5 назад это был самый популярный вариант, и по доступности покрытия и по ценам. При довольно неплохой скорости (на то время - 10-20 мегабит на прием, 1-5 на передачу, без ограничений на объем). С учетом того, что в нашем городе как минимум треть площади это частный сектор. Этакая окультренная деревня, в которою прокладывать оптику не выгодно - это не микрорайоны девятиэтажек подключать. Причем по стране такое много где есть, не только в нашем городе. Да и просто населенных пунктов сельского типа много, а интернет хочется не только в крупных городах. Так что adsl у нас тут живет и здравствует, или еще долго, я думаю, жить будет. Пока мобильная связь не станет как в японии, где в мобильники для местного рынка уже и Wi-Fi не ставят вроде как.

Так то в микрорайонах уже давно все на кабельных операторов перешли, безлимитный 100мбит это норма (без скрытых ограничений на объем), а кое-где и гигабит доступен.

Аватара пользователя

svtv1
Сообщения: 278
Зарегистрирован: 26 дек 2017, 15:27
Решено: 2
1
Благодарил (а): 39 раз
Поблагодарили: 23 раза

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#36

03 фев 2018, 02:01

slant
Я снова не понял, какой на фиг город, ты в LM
Вчера, 20:05
Если свисток, то там за NAT ОПСОСа. Хомякам сейчас белые вряд ли дают.

Я имел в виду ADSL модем. У нас тут, adsl достаточно частое еще явление, скажем. И белый ip на нем тоже. В usb варианте такие модемы тоже встречаются.

В сети
Аватара пользователя

di_mok
Сообщения: 2826
Зарегистрирован: 27 авг 2016, 19:06
Решено: 19
Откуда: Арзамас
Благодарил (а): 705 раз
Поблагодарили: 438 раз
Темы пользователя: найти
Контактная информация: Контактная информация пользователя di_mok

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#32

Сообщение di_mok » Вчера, 22:54
Не по теме

slant писал(а): ↑
Вчера, 21:43
У нас тут, adsl достаточно частое еще явление

Фигасе... Вроде город у вас не из маленьких
Настоящая водка — это не пьянство, а ключ к своей совести, с нее-то и начинается настоящая мудрость. (c)

В сети
Аватара пользователя

svtv1
Сообщения: 148
Зарегистрирован: 26 дек 2017, 15:27
Решено: 2
Благодарил (а): 20 раз
Поблагодарили: 16 раз
Темы пользователя: найти
Контактная информация: Контактная информация пользователя svtv1

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво

#33

Сообщение svtv1 » Вчера, 23:56
_R-S_
Вот я тут, и не фига не понял. Ты боишься взлома своей ОС, поверь на это потребуются годы (на твоей систем включена система обновления безопасности и поверь, она меняет настройки, входа сторонних пользователей.)
,т.е., ни кто не сможет выполнить команду от root.
"Если достаточно долго сидеть возле реки - мимо проплывет труп твоего врага"

В сети
Аватара пользователя

svtv1
Сообщения: 148
Зарегистрирован: 26 дек 2017, 15:27
Решено: 2
Благодарил (а): 20 раз
Поблагодарили: 16 раз
Темы пользователя: найти
Контактная информация: Контактная информация пользователя svtv1
Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво
#34
Сообщение svtv1 » Сегодня, 00:03
Не, не пиво, но. ВОДКА ААААААА!!!!!!! Конечно шучу :blum: Если, что не понял, спроси. :smile:
"Если достаточно долго сидеть возле реки - мимо проплывет труп твоего врага"
В сети
Аватара пользователя
slant
Сообщения: 567
Зарегистрирован: 21 июн 2017, 18:09
Решено: 6
Благодарил (а): 1 раз
Поблагодарили: 201 раз
Темы пользователя: найти
Контактная информация: Контактная информация пользователя slant

Помогите, пожалуйста новичку с настройкой безопасности. С меня пиво
#35
Непрочитанное сообщение slant » 3 минуты назад
Не по теме
di_mok писал(а): ↑
Вчера, 22:54
Фигасе... Вроде город у вас не из маленьких
Местная специфика. Укртелеком - он у нас практически везде, фактически одно время был основным государственным оператором. А adsl - была его ставка в сфере интернета, в свое время, причем пожалуй весьма удачная из-за опять же специфики местной. Еще лет 5 назад это был самый популярный вариант, и по доступности покрытия и по ценам. При довольно неплохой скорости (на то время - 10-20 мегабит на прием, 1-5 на передачу, без ограничений на объем). С учетом того, что в нашем городе как минимум треть площади это частный сектор. Этакая окультренная деревня, в которою прокладывать оптику не выгодно - это не микрорайоны девятиэтажек подключать. Причем по стране такое много где есть, не только в нашем городе. Да и просто населенных пунктов сельского типа много, а интернет хочется не только в крупных городах. Так что adsl у нас тут живет и здравствует, или еще долго, я думаю, жить будет. Пока мобильная связь не станет как в японии, где в мобильники для местного рынка уже и Wi-Fi не ставят вроде как.
Так то в микрорайонах уже давно все на кабельных операторов перешли, безлимитный 100мбит это норма (без скрытых ограничений на объем), а
Не в некрупных городах, ну и иже с ними.
ОС на Linux, систем которая делалась под многопользовательский режим, и поэтому изначально просит пароль, каждого входящего зарегестрируем в ней пользователя (см. root and grop)
"Если достаточно долго сидеть возле реки - мимо проплывет труп твоего врага"

Закрыто

Вернуться в «Вопрос новичка и FaQ»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость