Jump to content
  • 1

Web-авторизация для доступа к внешнему порту (RDP, FTP, IP-камера)


Mult

Question

Хотел бы увидеть в Кинетик офигенную функцию, которая есть в роутере Juniper SSG-5, называется WebAuth.

Возьмем ситуацию, когда нужно открыть в интернет RDP, FTP, видеонаблюдение или еще что-либо для личного пользования.
С каких IP я буду подключаться к этим сервисам я заранее не знаю, а открывать для всех IP это не безопасно.
Я создаю правило доступа с любого "авторизованного" IP.
То есть чтобы для определенного IP открылся доступ к порту, нужно предварительно зайти на https страницу авторизации и ввести там правильные логин и пароль, специально созданные для этой авторизации.
Таким образом внешние порты закрыты для всех! Но могут открыться для конкретного IP после авторизации на web страничке.

Эту функцию уже давно использую на работе, ОЧЕНЬ удобно и безопасно, не нужно заморачиваться с настройкой VPN соединений на клиенте и вариантов использования множество.

 

Edited by Mult
  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

26 answers to this question

Recommended Posts

  • 1

Mult похоже говорит об аналоге knockd, где вместо стуков ввод по https логина-пароля. И все равно после авторизации (или стуков) кто будет шифровать rdp и прочее ?

Link to comment
Share on other sites

  • 0

Если вас совсем не беспокоит выпускать свой RDP, FTP и прочий трафик в открытую далеко по интернету, тогда можно и на доступ к портам забить и вообще всё удобно станет. 

А если серьезно, то лучше и безопаснее чем VPN тут решения не вижу. Ваше решение это немножко полумера. Ну посмотрим, может кому-то приглянется.

  • Upvote 2
  • Y'r wrong 1
Link to comment
Share on other sites

  • 0
22 минуты назад, keenet07 сказал:

Если вас совсем не беспокоит выпускать свой RDP, FTP и прочий трафик в открытую далеко по интернету, тогда можно и на доступ к портам забить и вообще всё удобно станет. 

Мало того - потом обязательно забывается удалить правило/доступ - и вуаля, дырка.

Link to comment
Share on other sites

  • 0

Так образуются серваки с free web cam, где можно посмотреть как кто живет в домашней обстановке. Выставить RDP и камеры наружу - только врагу такого пожелать. Если c vpn сложно, то настрой ssh+туннели. Результат какой и требуется, наружу ничего не выставляется и секьюрно.

Edited by laforsh
Link to comment
Share on other sites

  • 0
3 hours ago, keenet07 said:

Если вас совсем не беспокоит выпускать свой RDP, FTP и прочий трафик в открытую далеко по интернету, тогда можно и на доступ к портам забить и вообще всё удобно станет. 

А если серьезно, то лучше и безопаснее чем VPN тут решения не вижу. Ваше решение это немножко полумера. Ну посмотрим, может кому-то приглянется.

Доступ открывается только для IP одного конкретного клиента! А сам трафик шифруется TLS (RDP, SFTP, HTTPS) И даже если предположить что его кто-то перехватит и расшифрует, то он не сможет подключиться тк порт будет закрыт для всех IP. 

Решение безопасное, если вы поняли правильно его реализацию. А VPN гораздо менее удобно использовать.

Edited by Mult
Link to comment
Share on other sites

  • 0
2 hours ago, vk11 said:

Мало того - потом обязательно забывается удалить правило/доступ - и вуаля, дырка.

Вы ничего не поняли. Правило с авторизацией, авторизация с таймаутом. Все закрывается автоматически, дырок не будет)

Link to comment
Share on other sites

  • 0
1 hour ago, laforsh said:

Так образуются серваки с free web cam, где можно посмотреть как кто живет в домашней обстановке. Выставить RDP и камеры наружу - только врагу такого пожелать. Если c vpn сложно, то настрой ssh+туннели. Результат какой и требуется, наружу ничего не выставляется и секьюрно.

Вы не поняли то о чем я писал! То что вы написали образоваться не может априори! Ничего наружу не выставляется, наоборот..

Link to comment
Share on other sites

  • 0
7 минут назад, Mult сказал:

Доступ открывается только для IP одного конкретного клиента! А сам трафик шифруется TLS (RDP, SFTP, HTTPS) И даже если предположить что его кто-то перехватит и расшифрует, то он не сможет подключиться тк порт будет закрыт для всех IP. 

Решение безопасное, если вы поняли правильно его реализацию. А VPN гораздо менее удобно использовать.

Ну правильно, вы ведь только сейчас об этом написали. А до этого ни о каком шифровании трафика и речи не шло. RDP, FTP, IP камера, по умолчанию ничего не шифруется. 

Link to comment
Share on other sites

  • 0

Похоже я не совсем корректно описал.

Доступ изначально закрыт наружу. После веб-авторизации доступ открывается для одного конкретного IP клиента  и по таймауту закрывается.

Что именно будет передаваться через этот порт уже на усмотрение пользователя. Я все бы шифровал  TLS ( RDP умеет, sFTP, камера HTTPS)
Да и вообще перехват не настолько страшен, т.к. с левого IP подключиться невозможно будет

Link to comment
Share on other sites

  • 0
57 minutes ago, Le ecureuil said:

Верю, что наверное очень удобно, но что безопасно - ни капли, скорее "очень небезопасно".

Единственный небезопасный момент - это подключение через провайдера использующего NAT, когда через один IP выходят много народу. Но так одной авторизацией все не обходится любой сервис имеет свою авторизацию еще и доступ по таймауту закроется. В этот промежуток времени никто не успеет ничего заметить и взломать. Повторюсь каждый сервис должен быть защищен TLS почти так же как будто он открыт наружу для всех

Link to comment
Share on other sites

  • 0
15 minutes ago, Le ecureuil said:

А чем вам так не мил vpn? Еще надежнее.

каждому свое, мне не удобно на клиенте VPN настраивать каждый раз, а зайти на веб страничку это проще простого. И с настройкой VPN на разных устройствах бывают вылазят всякие косяки

Edited by Mult
Link to comment
Share on other sites

  • 0
2 минуты назад, Mult сказал:

каждому свое, мне не удобно на клиенте VPN настраивать каждый раз, а зайти на веб страничку это проще простого

Это и не требуется. Вставляете свою волшебную флешку и запускаете портативный клиент VPN.

Link to comment
Share on other sites

  • 0
7 minutes ago, keenet07 said:

Это и не требуется. Вставляете свою волшебную флешку и запускаете портативный клиент VPN.

А если ее нет или не хочу доставать,а пара логинов-паролей в голове всегда. Да и вообще нет желания заморачиваться с настройкой впн портативного. Я эту функцию для простоты использования хочу. А впн, ssh тунели ни разу не проще

Link to comment
Share on other sites

  • 0

Респект  и уважуха ребятам из Juniper за эту функцию, которая у меня на работе избавила от огромного гемора в прежние времена, когда с впн было сложнее из-за разношерстного оборудования у пользователей.

А большинство просто не пробовали пользоваться такой функцией и внедрять ее, поэтому стали на дыбы и против...

Считаешь для себя это небезопасно/не нужно и тд - НЕ ПОЛЬЗУЙСЯ и другим не мешай

 

Edited by Mult
Link to comment
Share on other sites

  • 0
4 часа назад, laforsh сказал:

Так образуются серваки с free web cam, где можно посмотреть как кто живет в домашней обстановке.

Выставить RDP и камеры наружу - только врагу такого пожелать. 

🤣

Я видел состояние людей, получивших в сетку шифровальщик через рдп... 😡

Link to comment
Share on other sites

  • 0
2 часа назад, Mult сказал:

Вы ничего не поняли. Правило с авторизацией, авторизация с таймаутом. Все закрывается автоматически, дырок не будет)

Да как же тебя понять, если ты ничего не говоришь? (с) кино 😀

Где про это сказано в исъодном посте? Кроме того - таймаутом кто бужет рулить?

Link to comment
Share on other sites

  • 0
38 минут назад, laforsh сказал:

Mult похоже говорит об аналоге knockd, где вместо стуков ввод по https логина-пароля. И все равно после авторизации (или стуков) кто будет шифровать rdp и прочее ?

Так можно на WS поставить сертификат и запретить доступ не по сертификатам, но тогда я и смысла этой фичи не вижу - если доступ только по ключам, то разве что от zero-day спасать сервер.

Link to comment
Share on other sites

  • 0
On 10/27/2020 at 7:33 PM, laforsh said:

Mult похоже говорит об аналоге knockd, где вместо стуков ввод по https логина-пароля. И все равно после авторизации (или стуков) кто будет шифровать rdp и прочее ?

Да, это аналог Port Knocking, только более юзер-френдли. А как защищать то к чему откроется доступ  это уже по выбору каждого. Мне, например нужен доступ к видеорегистратору по SSL, но открывать порт для всех не хочу. Открывать VPN по логину-паролу-psk для всех то же не хочу, а VPN по сертификату это адский гемор, который нах не нужен, не на всех устройствах это вообще можно настроить...

Link to comment
Share on other sites

  • 0
On 10/27/2020 at 8:13 PM, Le ecureuil said:

Так можно на WS поставить сертификат и запретить доступ не по сертификатам, но тогда я и смысла этой фичи не вижу - если доступ только по ключам, то разве что от zero-day спасать сервер.

А на телефон тоже сертификат устанавливать? Я говорю о способе уйти от костылей, а не использовать их.

Link to comment
Share on other sites

  • 0
On 10/27/2020 at 5:47 PM, vk11 said:

Да как же тебя понять, если ты ничего не говоришь? (с) кино 😀

Где про это сказано в исъодном посте? Кроме того - таймаутом кто бужет рулить?

Оказалось оочень сложно донести мысль по массы.

Таймаутом естественно должен рулить кинетик. Отсекать либо от момента авторизации, либо по простою после закрытия соединения (второе предпочтительнее)

Link to comment
Share on other sites

  • 0

Поддержу, идея интересная. Банально можно находясь в гостях или в отеле легко получить доступ к своим ресурсам, при этом вполне безопасно.  
Некоторые участники накидали каких то страхов и штампов, в которых кажется сами до конца не разобрались. RDP как священная корова, что-то где то слышали и срочно нужно транслировать.
Разумеется дырки везде есть но конкретно проблема RDP - неправильно настроенная терминалка, слабые пароли и дырки в протоколе. Но это вообще никакого отношения не имеет к предлагаемой фиче/

И понятно что VPN более безопасно, но описанная тут фича мне кажется подходит для ряда сценариев и гораздо удобнее VPN. А реализовать должно быть не сложно.

Мне кажется вполне такая неплохая киллер фича, и не зря другие вендоры догадались это использовать

Edited by Joe D
  • Y'r wrong 1
Link to comment
Share on other sites

  • 0

А если эту фичу сделать опциональной, включаемой/отключаемой только через cli, в который никакая домохозяйка не полезет?

Edited by Usatyj
Link to comment
Share on other sites

  • 0
В 12.12.2020 в 18:13, Joe D сказал:

Поддержу, идея интересная. Банально можно находясь в гостях или в отеле легко получить доступ к своим ресурсам, при этом вполне безопасно.  
Некоторые участники накидали каких то страхов и штампов, в которых кажется сами до конца не разобрались. RDP как священная корова, что-то где то слышали и срочно нужно транслировать.
Разумеется дырки везде есть но конкретно проблема RDP - неправильно настроенная терминалка, слабые пароли и дырки в протоколе. Но это вообще никакого отношения не имеет к предлагаемой фиче/

И понятно что VPN более безопасно, но описанная тут фича мне кажется подходит для ряда сценариев и гораздо удобнее VPN. А реализовать должно быть не сложно.

Мне кажется вполне такая неплохая киллер фича, и не зря другие вендоры догадались это использовать

Только Вас не пустят на непонятный порт в некоторых отелях и проч. организациях. А все сервисы завязать на один порт не получится.

А какой тайм-аут выбрать? Слишком короткий - неудобно, большой - небезопасно. Вот так в отеле вы отключитесь, а сосед подключится а того же IP адреса. Это хорошо, если сервис с шифрованием, а если нет? Так вы по открытой wifi все пароли засветите. В отелях обычно нет шифрования wifi.

Удобства мало. А ещё IP адрес могут вам сменить, и вам снова простукивать придется.

У меня настроен vpn, настраивается просто, работает отлично. Только кнопочку нажать, и уже в сети. Заодно можно весть трафик завернуть, чтоб не бояться открытых wifi.

Link to comment
Share on other sites

  • 0
В 14.01.2021 в 04:40, dmitry.a сказал:

Только Вас не пустят на непонятный порт в некоторых отелях и проч. организациях. А все сервисы завязать на один порт не получится.

Ерунда - практически ни разу не сталкивался с таким находясь в разных сетях, гостях, кафе и прочем.

Цитата

А какой тайм-аут выбрать? Слишком короткий - неудобно, большой - небезопасно

Не можете выбрать - не настраивайте себе. Я не вижу с этим проблем.

Цитата

Вот так в отеле вы отключитесь, а сосед подключится а того же IP адреса. 

Могу вам дать адресь RDP или FTP сервера где порт прямо сейчас открыт, за сколько минут подключитесь? Представляете - даже с вашего IP доступ разрешен. Настоящая дыра - скачаете мне оттуда все файлы?

Цитата

У меня настроен vpn, настраивается просто,

Да конечно, просто. Дам вам сейчас рандомный пк под windows\mac\linux, что там у вас PPPTP? OpenVPN? За сколько настроите? А если прав админа нет? А сертификат свой и профиль VPN готовы на другой комп скопировать?

Давайте посчитаем, сколько времени зайдет у вас настроить VPN а потом зайти по нему на личный FTP и посчитаем сколько в предложеной автором схеме - тупо авторизоваться в браузере а потом постучаться на указанный адрес через какой нибудь эксплорер, ввести свою учетку. Сложно? И даже плевать что FTP в открытую пароли передает, даже если его украдут - подключиться не смогут.  

Edited by Joe D
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...