Mult
-
Posts
15 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Mult
-
-
On 10/27/2020 at 5:47 PM, vk11 said:
Да как же тебя понять, если ты ничего не говоришь? (с) кино 😀
Где про это сказано в исъодном посте? Кроме того - таймаутом кто бужет рулить?
Оказалось оочень сложно донести мысль по массы.
Таймаутом естественно должен рулить кинетик. Отсекать либо от момента авторизации, либо по простою после закрытия соединения (второе предпочтительнее)
-
On 10/27/2020 at 8:13 PM, Le ecureuil said:
Так можно на WS поставить сертификат и запретить доступ не по сертификатам, но тогда я и смысла этой фичи не вижу - если доступ только по ключам, то разве что от zero-day спасать сервер.
А на телефон тоже сертификат устанавливать? Я говорю о способе уйти от костылей, а не использовать их.
-
On 10/27/2020 at 7:33 PM, laforsh said:
Mult похоже говорит об аналоге knockd, где вместо стуков ввод по https логина-пароля. И все равно после авторизации (или стуков) кто будет шифровать rdp и прочее ?
Да, это аналог Port Knocking, только более юзер-френдли. А как защищать то к чему откроется доступ это уже по выбору каждого. Мне, например нужен доступ к видеорегистратору по SSL, но открывать порт для всех не хочу. Открывать VPN по логину-паролу-psk для всех то же не хочу, а VPN по сертификату это адский гемор, который нах не нужен, не на всех устройствах это вообще можно настроить...
-
40 minutes ago, MDP said:
Нормальная хотелка кстати!!! При появлении интернета, можно и wifi обратно автоматически включать. Единственная ложка дёгтя...это как-то надо обыграть момент, с теми устройствами, которым как бы интернет и не нужен совсем (приставки, телевизоры которым доступ нужен к DLNA, камеры видеонаблюдения) . Если бы выборочно для назначенных устройств такое было-бы то я ЗА !!! ...ну и естественно mesh чтобы не пострадал.
Да, точно! В настройках каждого устройства галочку, хорошая идея
-
Предлагаю функцию отключения Wi-Fi при пропадании интернета. Множество мобильных устройств автоматически не переключаются на 4G при проблемах с Wi-Fi. Вафля отрубается и ты это ни как не узнаешь, сообщения на телефон не приходят и ты в офлайне, это подстава!
Очень просится опция отключения вещания Wi-Fi при сбое pingcheck. А если Wi-Fi нужно принудительно включить, например, для настройки роутера, то жмем на кнопку. По дефолту - опция отключена.
-
Респект и уважуха ребятам из Juniper за эту функцию, которая у меня на работе избавила от огромного гемора в прежние времена, когда с впн было сложнее из-за разношерстного оборудования у пользователей.
А большинство просто не пробовали пользоваться такой функцией и внедрять ее, поэтому стали на дыбы и против...
Считаешь для себя это небезопасно/не нужно и тд - НЕ ПОЛЬЗУЙСЯ и другим не мешай
-
7 minutes ago, keenet07 said:
Это и не требуется. Вставляете свою волшебную флешку и запускаете портативный клиент VPN.
А если ее нет или не хочу доставать,а пара логинов-паролей в голове всегда. Да и вообще нет желания заморачиваться с настройкой впн портативного. Я эту функцию для простоты использования хочу. А впн, ssh тунели ни разу не проще
-
15 minutes ago, Le ecureuil said:
А чем вам так не мил vpn? Еще надежнее.
каждому свое, мне не удобно на клиенте VPN настраивать каждый раз, а зайти на веб страничку это проще простого. И с настройкой VPN на разных устройствах бывают вылазят всякие косяки
-
57 minutes ago, Le ecureuil said:
Верю, что наверное очень удобно, но что безопасно - ни капли, скорее "очень небезопасно".
Единственный небезопасный момент - это подключение через провайдера использующего NAT, когда через один IP выходят много народу. Но так одной авторизацией все не обходится любой сервис имеет свою авторизацию еще и доступ по таймауту закроется. В этот промежуток времени никто не успеет ничего заметить и взломать. Повторюсь каждый сервис должен быть защищен TLS почти так же как будто он открыт наружу для всех
-
Похоже я не совсем корректно описал.
Доступ изначально закрыт наружу. После веб-авторизации доступ открывается для одного конкретного IP клиента и по таймауту закрывается.
Что именно будет передаваться через этот порт уже на усмотрение пользователя. Я все бы шифровал TLS ( RDP умеет, sFTP, камера HTTPS)
Да и вообще перехват не настолько страшен, т.к. с левого IP подключиться невозможно будет -
1 hour ago, laforsh said:
Так образуются серваки с free web cam, где можно посмотреть как кто живет в домашней обстановке. Выставить RDP и камеры наружу - только врагу такого пожелать. Если c vpn сложно, то настрой ssh+туннели. Результат какой и требуется, наружу ничего не выставляется и секьюрно.
Вы не поняли то о чем я писал! То что вы написали образоваться не может априори! Ничего наружу не выставляется, наоборот..
-
2 hours ago, vk11 said:
Мало того - потом обязательно забывается удалить правило/доступ - и вуаля, дырка.
Вы ничего не поняли. Правило с авторизацией, авторизация с таймаутом. Все закрывается автоматически, дырок не будет)
-
3 hours ago, keenet07 said:
Если вас совсем не беспокоит выпускать свой RDP, FTP и прочий трафик в открытую далеко по интернету, тогда можно и на доступ к портам забить и вообще всё удобно станет.
А если серьезно, то лучше и безопаснее чем VPN тут решения не вижу. Ваше решение это немножко полумера. Ну посмотрим, может кому-то приглянется.
Доступ открывается только для IP одного конкретного клиента! А сам трафик шифруется TLS (RDP, SFTP, HTTPS) И даже если предположить что его кто-то перехватит и расшифрует, то он не сможет подключиться тк порт будет закрыт для всех IP.
Решение безопасное, если вы поняли правильно его реализацию. А VPN гораздо менее удобно использовать.
-
Хотел бы увидеть в Кинетик офигенную функцию, которая есть в роутере Juniper SSG-5, называется WebAuth.
Возьмем ситуацию, когда нужно открыть в интернет RDP, FTP, видеонаблюдение или еще что-либо для личного пользования.
С каких IP я буду подключаться к этим сервисам я заранее не знаю, а открывать для всех IP это не безопасно.
Я создаю правило доступа с любого "авторизованного" IP.
То есть чтобы для определенного IP открылся доступ к порту, нужно предварительно зайти на https страницу авторизации и ввести там правильные логин и пароль, специально созданные для этой авторизации.
Таким образом внешние порты закрыты для всех! Но могут открыться для конкретного IP после авторизации на web страничке.Эту функцию уже давно использую на работе, ОЧЕНЬ удобно и безопасно, не нужно заморачиваться с настройкой VPN соединений на клиенте и вариантов использования множество.
-
1
-
1
-
Отключение Wi-Fi при пропадании интернета
in Развитие
Posted
Ну, народ, классная же функция, голосуйте!