Блокировка портов от Пети



  • Прописал в pfsense запреты на трафик по портам 135, 139, 445.
    По LAN и по всем сетевым внешним интерфейсам. Могу ли я быть уверен, что защищен от Пети?
    Даже если ккой-то пользователь и откроет опасное вложение, то вирус ограничится его компом. По локальной сети он расползаться не будет.  Верно?




  • Даже если ккой-то пользователь и откроет опасное вложение, то вирус ограничится его компом. По локальной сети он расползаться не будет.  Верно?
    Нет.
    Популярное заблуждение.
    pfSense, как и любой другой роутер\шлюз для выхода в интернет, на работу локальной сети влиять не может.



  • Но порты-то закрыты в LAN!!! Или они на самом деле не закрыты?



  • Доброе.
    2 deem73
    Устанавливайте обновления безопасности для всех Win. Если у вас более 20 раб. станций - разворачивайте домен (можно и на linux, тот же nethserver + RSAT вполне подойдет, хотя до полной AD уровня 2012 R2 и выше, ес-но, не дотягивает).
    Настраивайте групповые политики для автоустановки обновлений безопасности, запретов запуска\установки стороннего ПО и т.д.

    https://www.atraining.ru/mimikatz-lsa-protection/
    https://www.atraining.ru/lm-ntlm-ntlmv2-armoring/
    https://habrahabr.ru/company/pc-administrator/blog/331906/

    Работа с груп. политиками https://www.atraining.ru/group-policy-enterprise-gpmc/

    Тест лок. сети на наличие описанных выше уязвимостей - https://xakep.ru/2017/07/03/eternal-blues/

    И самое важное. Настроить резервное копирование важной информации. Вариант решения - размещать общие ресурсы на NAS (nas4free \ freenas) и настроить автоматическе snapshot-ы.

    Мой вариант - Proxmox zfs + nas4free zfs для резервного копирования. Proxmox развернут на AMD Ryzen 5\7 (откл. SMP ?) + 32-64 ГБ RAM  + 4 hdd в zfs raid 10 + ssd для кеша ZIL и L2ARC . Размер для ZIL - 1-2 ГБ, больше не надо, все остальное - L2ARC.

    Что такое и для чего нужны ZIL и L2ARC кэши - http://www.45drives.com/wiki/index.php?title=FreeNAS_-What_is_ZIL%26_L2ARC , https://www.ixsystems.com/blog/o-slog-not-slog-best-configure-zfs-intent-log/

    NAs4free (http://2gusia.livejournal.com/30360.html) развернут на флешке 16 Гб usb 3.0 + swap на zvol. Установлено 8 ГБ ОЗУ + 3 hdd в raidz1 (кому нужно сверхотказоустойчиво - raidz2 и выше). Можно\нужно также доустановить ssd для кеша ZIL и L2ARC . Размер и настройки кеша теже, что и для proxmox.

    Вирт. маш. proxmox автоматом по сети 1Гб\с сохраняются на NAS, подкл. по NFS. Сохраняется последн. 3 копии

    Пользоват. шара также настроена на NAS + ldap-аутенификация. Создаются каждый день автоснепшоты. Сохраняются последние 5 копий (раб. неделя). Если кому надо - можно и чаще настроить. Т.е. можно откатиться в случае чего на 1 день назад.

    Основные сервера выносятся в др. VLAN (еще не все настроил в этом плане, правда) . Pf рулит доступом пол-лей на эти сервера.

    Внимание! ZFS оч любит RAM. Чем больше у вас ОЗУ - тем лучше.

    Все это дело - на 99% железонезависимо. Т.е. вышла из строя матплата\цпу\hdd на proxmox или nas - берется др., перетыкаются кабели и все работает как и прежде. Попробуйте это провернуть с брендовым железом от HP, Dell и т.д. Будете оч сильно и неприятно "удивлены".

    Кому интерсно как это все настроено и работает - пишите в ЛС.



  • @deem73:

    Но порты-то закрыты в LAN!!! Или они на самом деле не закрыты?

    1. Трафик локальной сети не ходит через pfSense!
    2. А если бы и ходил - вы бы отключили  SMB - доступ к сетевым ресурсам своей сети.



  • Я понял.
    А если в встроенном брандмауэре винды закрыть эти порты в каждой машине локальной сети?



  • @deem73:

    Я понял.
    А если в встроенном брандмауэре винды закрыть эти порты в каждой машине локальной сети?

    Тогда Петя не пролезет. Но закрыть эти порты, например на сервере - это отключить SMB доступ к этому серверу.



  • Мечтательно Вот бы Большую Красную Кнопку с надписью "Сделать всё за…сь". Но нет такой.

    Информация к размышлению предоставлена. По другому никак.


Log in to reply