Блокировка портов от Пети

deem73

Прописал в pfsense запреты на трафик по портам 135, 139, 445.
По LAN и по всем сетевым внешним интерфейсам. Могу ли я быть уверен, что защищен от Пети?
Даже если ккой-то пользователь и откроет опасное вложение, то вирус ограничится его компом. По локальной сети он расползаться не будет.  Верно?

pigbrother

Даже если ккой-то пользователь и откроет опасное вложение, то вирус ограничится его компом. По локальной сети он расползаться не будет.  Верно?
Нет.
Популярное заблуждение.
pfSense, как и любой другой роутер\шлюз для выхода в интернет, на работу локальной сети влиять не может.

deem73

Но порты-то закрыты в LAN!!! Или они на самом деле не закрыты?

werter

Доброе.
2 deem73
Устанавливайте обновления безопасности для всех Win. Если у вас более 20 раб. станций - разворачивайте домен (можно и на linux, тот же nethserver + RSAT вполне подойдет, хотя до полной AD уровня 2012 R2 и выше, ес-но, не дотягивает).
Настраивайте групповые политики для автоустановки обновлений безопасности, запретов запуска\установки стороннего ПО и т.д.

https://www.atraining.ru/mimikatz-lsa-protection/
https://www.atraining.ru/lm-ntlm-ntlmv2-armoring/
https://habrahabr.ru/company/pc-administrator/blog/331906/

Работа с груп. политиками https://www.atraining.ru/group-policy-enterprise-gpmc/

Тест лок. сети на наличие описанных выше уязвимостей - https://xakep.ru/2017/07/03/eternal-blues/

И самое важное. Настроить резервное копирование важной информации. Вариант решения - размещать общие ресурсы на NAS (nas4free \ freenas) и настроить автоматическе snapshot-ы.

Мой вариант - Proxmox zfs + nas4free zfs для резервного копирования. Proxmox развернут на AMD Ryzen 5\7 (откл. SMP ?) + 32-64 ГБ RAM  + 4 hdd в zfs raid 10 + ssd для кеша ZIL и L2ARC . Размер для ZIL - 1-2 ГБ, больше не надо, все остальное - L2ARC.

Что такое и для чего нужны ZIL и L2ARC кэши - http://www.45drives.com/wiki/index.php?title=FreeNAS_-What_is_ZIL%26_L2ARC , https://www.ixsystems.com/blog/o-slog-not-slog-best-configure-zfs-intent-log/

NAs4free (http://2gusia.livejournal.com/30360.html) развернут на флешке 16 Гб usb 3.0 + swap на zvol. Установлено 8 ГБ ОЗУ + 3 hdd в raidz1 (кому нужно сверхотказоустойчиво - raidz2 и выше). Можно\нужно также доустановить ssd для кеша ZIL и L2ARC . Размер и настройки кеша теже, что и для proxmox.

Вирт. маш. proxmox автоматом по сети 1Гб\с сохраняются на NAS, подкл. по NFS. Сохраняется последн. 3 копии

Пользоват. шара также настроена на NAS + ldap-аутенификация. Создаются каждый день автоснепшоты. Сохраняются последние 5 копий (раб. неделя). Если кому надо - можно и чаще настроить. Т.е. можно откатиться в случае чего на 1 день назад.

Основные сервера выносятся в др. VLAN (еще не все настроил в этом плане, правда) . Pf рулит доступом пол-лей на эти сервера.

Внимание! ZFS оч любит RAM. Чем больше у вас ОЗУ - тем лучше.

Все это дело - на 99% железонезависимо. Т.е. вышла из строя матплата\цпу\hdd на proxmox или nas - берется др., перетыкаются кабели и все работает как и прежде. Попробуйте это провернуть с брендовым железом от HP, Dell и т.д. Будете оч сильно и неприятно "удивлены".

Кому интерсно как это все настроено и работает - пишите в ЛС.

pigbrother

@deem73:

Но порты-то закрыты в LAN!!! Или они на самом деле не закрыты?

1. Трафик локальной сети не ходит через pfSense!
2. А если бы и ходил - вы бы отключили  SMB - доступ к сетевым ресурсам своей сети.

deem73

Я понял.
А если в встроенном брандмауэре винды закрыть эти порты в каждой машине локальной сети?

pigbrother

@deem73:

Я понял.
А если в встроенном брандмауэре винды закрыть эти порты в каждой машине локальной сети?

Тогда Петя не пролезет. Но закрыть эти порты, например на сервере - это отключить SMB доступ к этому серверу.

werter

Мечтательно Вот бы Большую Красную Кнопку с надписью "Сделать всё за…сь". Но нет такой.

Информация к размышлению предоставлена. По другому никак.