Безопасность PfSense.
-
Нашёл статью в Хакере:
http://www.xakep.ru/post/52713/
Ссылка на англоязычный первоисточник.
http://blogs.forbes.com/firewall/2010/07/13/millions-of-home-routers-vulnerable-to-web-hack/Статья относится к различным роутерам, в точисле к PfSense 1.2.3 RC3
Вкратце: Не стоит пренебрегать "зверскими" паролями.
У кого есть связь с отцами-основателями, что они думают по поводу этой уязвимости и присутствует ли она в 1.2.3 release?
-
Да, пароль admin/pfsense желательно поменять.
-
стойкий пароль, это раз, второе привязать к роутеру чтобы вход был по определенному ip адресу в сети, т.е чтобы он даже не светился в локалке, а при необходимости зайти на роутер, прописав его…
-
Нашёл статью …......что они думают по поводу этой уязвимости и присутствует ли она в 1.2.3 release?
А им то что до твоих настроек? все зависит от того что ты в настройках наФтыкал.
(я для собственного удобства разрешил из инета веб.морду и RDP и естественно пароли не из одной буквы набирайте пока не озвереете :) -
Нашёл статью …......что они думают по поводу этой уязвимости и присутствует ли она в 1.2.3 release?
А им то что до твоих настроек? все зависит от того что ты в настройках наФтыкал.
(я для собственного удобства разрешил из инета веб.морду и RDP и естественно пароли не из одной буквы набирайте пока не озвереете :)Я ничьего мнения в этом треде не спрашивал.
P.S. У меня доступ по РДП разрёшен только нескольким IP. -
имхо очень ненадёжное решение чтобы открывать веб и rdp )) . Сейчас очень хорошо работает rdpbrute… И их очень многомана )). Настроил openvpn поставил, snort и живу спокойно ) с внехи отрыть тока openvpn и усе..
-
плюсую openvpn.
1 удобно (не нужно пробрасывать каждый ип-порт)
2 секурно - сертификаты брутфорсить нет смысла. -
Аналогично - OpenVPN
Более того, у меня две конфигурации: одна для своих - ходим по всей внутренней сети, вторая для "почти" своих - с ограниченым доступом к определенным внутренним ip.
-
Доступ извне к pfsense только с домашней айпишки и пофиг на пароли
-
Не катит, если ип-шка динамична или за нат'ом. Можно конечно разрешить на всю "домашнюю" подсеть, но не факт, что в ней не окажется кулхацкера.
А если нужно зайти не из дома? -
Не катит, если ип-шка динамична или за нат'ом. Можно конечно разрешить на всю "домашнюю" подсеть, но не факт, что в ней не окажется кулхацкера.
А если нужно зайти не из дома?Нестандартный порт, я думаю может помочь предотвратить использование уязвимости, указанной в статье. Ещё интересен пакет Block Country, но он ещё бета, и может конфликтовать со снортом.
-
Отцы-основатели имеют очень конкретный совет всем пользователям pfSense… из свежего: http://www.mail-archive.com/support@pfsense.com/msg20041.html
-
Отцы-основатели имеют очень конкретный совет всем пользователям pfSense… из свежего: http://www.mail-archive.com/support@pfsense.com/msg20041.html
Google - перевод для ленивых
Это не уязвимости в программном обеспечении. Есть вещи, которые мы можем сделать
Для защиты от него, даже если вы небрежного (с использованием
по умолчанию, или легко угадываемые пароли), которые были добавлены к 2,0.
Единственное что позволяет кто-то сделать, это поставить под угрозу безопасность уязвимость
должен существовать один (из которых Есть не известны в 1.2.3), или получить в
, если вы используете пароль по умолчанию, или просто угадал пароль.Просто сделайте то, что мы предлагала течение многих лет (используйте надежные пароли,
не используют тот же браузер, чтобы управлять любым веб управляемого устройства, как вы
сделать для общего просмотра Интернет), и все в порядке. -
Не катит, если ип-шка динамична или за нат'ом. Можно конечно разрешить на всю "домашнюю" подсеть, но не факт, что в ней не окажется кулхацкера.
А если нужно зайти не из дома?для этого давно придуман ноуайпи или динамик днс…
то через дом есть тунель