Sieć w firmie

[Westbam 64]

Cześć,

 

Bardzo obszernej wiedzy nt. sieci nie mam i do Was kilka pytań mam.

 

Wkrótce w firmie w której pracuję będziemy podłączali światłowód.

Pytanie 1) Czy wystarczy 1 zewnętrzne ip?

W firmie jest sieć połączona z serwerem na którym są wszystkie pliki. Dodatkowo do serwera dołączone są lasery / giętarki (spięte w sieć wewnętrzną). Prezes chce również mieć:

- dostęp do serwera z domu (nie przez TeamViewer)

- podpięcie się pod kamery które są w firmie (również z domu) poprzez iDMSS (a nie tak jak obecnie że loguje się do serwera i dalej do kamer

- czy potrzebne w firmie symetryczne łącze?

 

Jak najlepiej to zrobić? (prosze łopatologicznie)

 

Aktualnie mamy telekomunę...

[XYS 3]

1. Tak

- VPN

- VPN(mniej bezpiecznie to przekierowania na rejestrator na routerze/ont)

- raczej nie widzę biznesu ze zdalnymi połączeniami bez min. 10/10 Mbps i 1 real IP.

 

P.S.

GIGA?

 

 

[Westbam 64]

FiberPower

 

Jeśli chodzi o VPN to mówisz o zewnętrznym vpsie i na nim postawienie VPNa?

 

Co z portami? Można zrobić jeden by był do łączenia "ze światem"? (jeden adres IP / 2 porty)

Edytowano Październik 6, 2016 przez Westbam (zobacz historię edycji)

[Gość Kamikadze]

Na IP możesz sobie otworzyć dowolny port, ale lepiej zrobić to przez VPN i po VPN zdalnie łączyć się do firmy i np. tam korzystać z RDP czy innych usług.

[XYS 3]

ONT przeźroczyście, na swoim routerze na WAN'ie ustawiasz IP od dostawcy, natujesz u siebie, przekierowania u siebie, vpn-server u siebie.

 

Ja mam zrobione tak: ont-bridge mietek 2011(na nim nat, kolejki, dhcp, przekierowania do rejestratora, postawiony pptp(tak wiem, że jest dziurawy jak ser szwajcarski etc. itd. ale z byle czego się połączysz a lepiej tak niż, przkierowanie rdp bezpośrednio - mozna zmienić na IPsec, L2TP)) sieć LAN wtedy masz pełną kontrolę nad tym co się dzieje na routerze.

 

Swoją drogą PM ;-)

Edytowano Październik 6, 2016 przez XYS (zobacz historię edycji)

[vjdj 4]

Co do kamer to najlepiej przekieruj port na routerze i korzystanie z dedykowanej aplikacji a nie w wersji przeglądowej.

Mam tak podgląd na kilka lokalizacji do tego użytkownik na rejestratorze tylko z możliwością podglądu (bazuje na rejestratorach BCS)

 

[Miłosz 2311]

(bazuje na rejestratorach BCS)

 

Wystaw BCSa na świat w całości i za jakiś czas będzie uczestniczył w atakach ddos

[Jarosław Szmańda 42]

Wystaw BCSa na świat w całości i za jakiś czas będzie uczestniczył w atakach ddos

Nie no nie przesadzaj, aż tak nie jest. Jednak jeśli nie zmieni domyślnych haseł to leci w kilka dni - czasem godzin.

BTW nie ma już BCSa u nas tylko Dahua oficjalnie.

[vjdj 4]

Hasła pozmieniane jak i porty choć te do odkrycia po skanie.

Można jakieś info o tych atakach przez rejestratory (oczywiście na pw), żeby lepiej postarać się to zabezpieczyć.

Jest Dauha jak ktoś mówi.

Z mojego punktu najlepiej mi się do dla szefostwa zrobiło właśnie przez sposób, który napisałem.

[Miłosz 2311]

Nie no nie przesadzaj, aż tak nie jest. Jednak jeśli nie zmieni domyślnych haseł to leci w kilka dni - czasem godzin.

BTW nie ma już BCSa u nas tylko Dahua oficjalnie.

Nie widziałem żadnego z defaultami, a jakoś ataki wychodziły. Po prostu jest to szmelc i tyle Producent wypuszcza jeden soft po wyprodukowaniu pudełka, bez aktualizacji.

[hemi 20]

Nie wiem jak jest teraz ale rejestratory Dahua miały/mają dziurę w oprogramowaniu. Ostatnio znajomemu włąscicielowi pubu w mieście robiłem proste testy zabezpieczenia sieci w lokalu, 1.5 roczny (nowy w momencie zakupu rejestrator Dahua) udało mi się złamać w ciągu 20 min na zwyklym, 2 rocznym laptopie. Wystarczy, że ma wystawiony port 37777 na świat i każdy z odrobiną wiedzy to zrobi. Bez VPN tutaj nie obejdzie się.

 

https://github.com/depthsecurity/dahua_dvr_auth_bypass - moduł metasploita wyciągający praktycznie cały konfig z dahua (łacznie z hashami haseł), do tego w miare aktualny john the ripper z obsługą hashy dahua