Безопасность PfSense.

DasTieRR

Нашёл статью в Хакере:
http://www.xakep.ru/post/52713/
Ссылка на англоязычный первоисточник.
http://blogs.forbes.com/firewall/2010/07/13/millions-of-home-routers-vulnerable-to-web-hack/

Статья относится к различным роутерам, в точисле к PfSense 1.2.3 RC3

Вкратце: Не стоит пренебрегать "зверскими" паролями.

У кого есть связь с отцами-основателями, что они думают по поводу этой уязвимости и присутствует ли она в 1.2.3 release?

dvserg

Да, пароль admin/pfsense желательно поменять.

fox

стойкий пароль, это раз, второе привязать к роутеру чтобы вход был по определенному ip адресу в сети, т.е чтобы он даже не светился в локалке, а при необходимости зайти на роутер, прописав его…

NegoroX

@DasTieRR:

Нашёл статью …......что они думают по поводу этой уязвимости и присутствует ли она в 1.2.3 release?

А им то что до твоих настроек? все зависит от того что ты в настройках наФтыкал.
(я для собственного удобства разрешил из инета веб.морду и RDP и естественно пароли не из одной буквы набирайте пока не озвереете  :)

DasTieRR

@NegoroX:

@DasTieRR:

Нашёл статью …......что они думают по поводу этой уязвимости и присутствует ли она в 1.2.3 release?

А им то что до твоих настроек? все зависит от того что ты в настройках наФтыкал.
(я для собственного удобства разрешил из инета веб.морду и RDP и естественно пароли не из одной буквы набирайте пока не озвереете  :)

Я ничьего мнения в этом треде не спрашивал.
P.S. У меня доступ по РДП разрёшен только нескольким IP.

fox

имхо очень ненадёжное решение чтобы открывать веб и rdp )) . Сейчас очень хорошо работает rdpbrute… И их очень многомана )). Настроил openvpn поставил, snort и живу спокойно ) с внехи отрыть тока openvpn и усе..

deutsche

плюсую openvpn.
1 удобно (не нужно пробрасывать каждый ип-порт)
2 секурно - сертификаты брутфорсить нет смысла.

volag

Аналогично - OpenVPN

Более того, у меня две конфигурации: одна для своих - ходим по всей внутренней сети, вторая для "почти" своих - с ограниченым доступом к определенным внутренним ip.

zar0ku1

Доступ извне к pfsense только с домашней айпишки и пофиг на пароли

deutsche

Не катит, если ип-шка динамична или за нат'ом. Можно конечно разрешить на всю "домашнюю" подсеть, но не факт, что в ней не окажется кулхацкера.
А если нужно зайти не из дома?

DasTieRR

@deutsche:

Не катит, если ип-шка динамична или за нат'ом. Можно конечно разрешить на всю "домашнюю" подсеть, но не факт, что в ней не окажется кулхацкера.
А если нужно зайти не из дома?

Нестандартный порт, я думаю может помочь предотвратить использование уязвимости, указанной в статье. Ещё интересен пакет Block Country, но он ещё бета, и может конфликтовать со снортом.

Eugene

Отцы-основатели имеют очень конкретный совет всем пользователям pfSense… из свежего: http://www.mail-archive.com/support@pfsense.com/msg20041.html

dvserg

@Evgeny:

Отцы-основатели имеют очень конкретный совет всем пользователям pfSense… из свежего: http://www.mail-archive.com/support@pfsense.com/msg20041.html

Google - перевод для ленивых

Это не уязвимости в программном обеспечении.  Есть вещи, которые мы можем сделать
Для защиты от него, даже если вы небрежного (с использованием
по умолчанию, или легко угадываемые пароли), которые были добавлены к 2,0.
Единственное что позволяет кто-то сделать, это поставить под угрозу безопасность уязвимость
должен существовать один (из которых Есть не известны в 1.2.3), или получить в
, если вы используете пароль по умолчанию, или просто угадал пароль.

Просто сделайте то, что мы предлагала течение многих лет (используйте надежные пароли,
не используют тот же браузер, чтобы управлять любым веб управляемого устройства, как вы
сделать для общего просмотра Интернет), и все в порядке.

zar0ku1

@deutsche:

Не катит, если ип-шка динамична или за нат'ом. Можно конечно разрешить на всю "домашнюю" подсеть, но не факт, что в ней не окажется кулхацкера.
А если нужно зайти не из дома?

для этого давно придуман ноуайпи или динамик днс…
то через дом есть тунель