Skocz do zawartości
Westbam

Sieć w firmie

Polecane posty

Cześć,

 

Bardzo obszernej wiedzy nt. sieci nie mam i do Was kilka pytań mam.

 

Wkrótce w firmie w której pracuję będziemy podłączali światłowód.

Pytanie 1) Czy wystarczy 1 zewnętrzne ip?

W firmie jest sieć połączona z serwerem na którym są wszystkie pliki. Dodatkowo do serwera dołączone są lasery / giętarki (spięte w sieć wewnętrzną). Prezes chce również mieć:

- dostęp do serwera z domu (nie przez TeamViewer)

- podpięcie się pod kamery które są w firmie (również z domu) poprzez iDMSS (a nie tak jak obecnie że loguje się do serwera i dalej do kamer

- czy potrzebne w firmie symetryczne łącze?

 

Jak najlepiej to zrobić? (prosze łopatologicznie) :)

 

Aktualnie mamy telekomunę...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

1. Tak

- VPN

- VPN(mniej bezpiecznie to przekierowania na rejestrator na routerze/ont)

- raczej nie widzę biznesu ze zdalnymi połączeniami bez min. 10/10 Mbps i 1 real IP.

 

P.S.

GIGA?

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

FiberPower

 

Jeśli chodzi o VPN to mówisz o zewnętrznym vpsie i na nim postawienie VPNa?

 

Co z portami? Można zrobić jeden by był do łączenia "ze światem"? (jeden adres IP / 2 porty)

Edytowano przez Westbam (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Na IP możesz sobie otworzyć dowolny port, ale lepiej zrobić to przez VPN i po VPN zdalnie łączyć się do firmy i np. tam korzystać z RDP czy innych usług.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ONT przeźroczyście, na swoim routerze na WAN'ie ustawiasz IP od dostawcy, natujesz u siebie, przekierowania u siebie, vpn-server u siebie.

 

Ja mam zrobione tak: ont-bridge mietek 2011(na nim nat, kolejki, dhcp, przekierowania do rejestratora, postawiony pptp(tak wiem, że jest dziurawy jak ser szwajcarski etc. itd. ale z byle czego się połączysz a lepiej tak niż, przkierowanie rdp bezpośrednio - mozna zmienić na IPsec, L2TP)) sieć LAN wtedy masz pełną kontrolę nad tym co się dzieje na routerze.

 

Swoją drogą PM ;-)

Edytowano przez XYS (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co do kamer to najlepiej przekieruj port na routerze i korzystanie z dedykowanej aplikacji a nie w wersji przeglądowej.

Mam tak podgląd na kilka lokalizacji do tego użytkownik na rejestratorze tylko z możliwością podglądu (bazuje na rejestratorach BCS)

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
(bazuje na rejestratorach BCS)

 

Wystaw BCSa na świat w całości i za jakiś czas będzie uczestniczył w atakach ddos ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wystaw BCSa na świat w całości i za jakiś czas będzie uczestniczył w atakach ddos ;)

Nie no nie przesadzaj, aż tak nie jest. Jednak jeśli nie zmieni domyślnych haseł to leci w kilka dni - czasem godzin.

BTW nie ma już BCSa u nas tylko Dahua oficjalnie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hasła pozmieniane jak i porty choć te do odkrycia po skanie.

Można jakieś info o tych atakach przez rejestratory (oczywiście na pw), żeby lepiej postarać się to zabezpieczyć.

Jest Dauha jak ktoś mówi.

Z mojego punktu najlepiej mi się do dla szefostwa zrobiło właśnie przez sposób, który napisałem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie no nie przesadzaj, aż tak nie jest. Jednak jeśli nie zmieni domyślnych haseł to leci w kilka dni - czasem godzin.

BTW nie ma już BCSa u nas tylko Dahua oficjalnie.

Nie widziałem żadnego z defaultami, a jakoś ataki wychodziły. Po prostu jest to szmelc i tyle :) Producent wypuszcza jeden soft po wyprodukowaniu pudełka, bez aktualizacji.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie wiem jak jest teraz ale rejestratory Dahua miały/mają dziurę w oprogramowaniu. Ostatnio znajomemu włąscicielowi pubu w mieście robiłem proste testy zabezpieczenia sieci w lokalu, 1.5 roczny (nowy w momencie zakupu rejestrator Dahua) udało mi się złamać w ciągu 20 min na zwyklym, 2 rocznym laptopie. Wystarczy, że ma wystawiony port 37777 na świat i każdy z odrobiną wiedzy to zrobi. Bez VPN tutaj nie obejdzie się.

 

https://github.com/depthsecurity/dahua_dvr_auth_bypass - moduł metasploita wyciągający praktycznie cały konfig z dahua (łacznie z hashami haseł), do tego w miare aktualny john the ripper z obsługą hashy dahua

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×