Организация сети, сервак в УД

[bag]

Приветствую всех!
Думаю у многих предполагается синхронизация с сервером УД извне, через инет. Но я не нашел никакой инфы на форуме относительно вопроса безопасности и вообще реализации удаленного доступа к серваку.
Поделитесь опытом, уважаемые. Как организованна связь с внешним миром? Как выглядит цепь? Сервак имеет статический адрес, или перед ним стоит роутер? Если напрямую, то как у вас с безопасностью? Понимаю что кому надо доступ получит к чему угодно, но хочется хотя-бы как то защитить доступ к своему УД извне.
У меня кабель воткнут в роутер, тот раздает wi-fi и пару компов по кабелю.

[Mixman]

Сто раз поднимали эту тему.

Я думаю что у многих так же как и у Вас. Делаете на роутере проброс 80 порта до сервера, а там через . htaccess задаете пароль к доступу на сайт

Если IP динамический, то пользуемся сервисами типа dyndns .

[bag]

Сто раз поднимали эту тему.

Я думаю что у многих так же как и у Вас. Делаете на роутере проброс 80 порта до сервера, а там через . htaccess задаете пароль к доступу на сайт

Если IP динамический, то пользуемся сервисами типа dyndns .

Не знал что есть подобные схемы, так и сделал, спасибо за инфу!

[kd0t]

После того как однажды наблюдал попытки взлома домашнего роутера перебором паролей, идущие с арабских ip, закрыл доступ ко всему извне, кроме ssh на нестандартном порту. Теперь подключение к домашним сервисам извне идет так: ssh-клиент на смартфоне с пробросом портов -> домашнее хозяйство (камеры торрент-клиент, http,sftp). Пользоваться можно даже в публичных сетях, тк соединение смарт-роутер зашифровано.

[Mixman]

Тот же VPN получается.
А как посмотреть попытку взлома роутера?

[kd0t]

Мой роутер работает под OpenWRT и хранит некоторое время системнй лог и лог ядра, что бывает полезно для отладки. Неудачные попытки аутентификации заносятся в системный журнал. Атаку наблюдал с работы, в логи зашел совершенно от нечего делать. Если память не изменяет, атака была на SSH, веб-интерфейс на то время был так же доступен извне по паролю. Аутентификация uhttpd в системный лог не писалась.

[dimonix]

Совсем чуть-чуть про сетевую безопасность:
1. не использовать "словарные" имена и пароли. Например, вместо kirill использовать kira, или вместо dmitry использовать dima. В паролях должно быть 6 и более символов (буквы, цифры и хотя бы 1 спецсимвол).
2. использовать программку для отслеживания подбора паролей и блокировки злоумышленников fail2ban
3. перенести сервисы на нестандартные порты
4. сделать списки доступа по IP
5. VPN во внутреннюю сеть (не отменяет пункты 1 и 2).
Используя эти простые правила мне удалось избежать взлома множества различных система на протяжении 10+ лет. Хотя попыток взлома с различных адресов бывало по несколько за сутки. Для домашней сети использую пункт 5, для VDS'ов пункты 1-4 (в зависимости от сервисов). Да, и все соединения через Интернет с передачей имен пользователей и паролей должны быть зашифрованы. Любой провайдер может просматривать весь ваш трафик.

[OlegR]

На рабочем серваке(FreeBSD) тоже пока SSH не убрал со стандартного порта, брутфорс был нещадный без перерывов, тоже предостерегу общественность от использования простых паролей. Хрен знает, кто там ломится и с какой целью .