Radiohead 0 Опубликовано 27 октября 2020 Автор Жалоба Рассказать Опубликовано 27 октября 2020 это красио звучит на словах. В реальности на переборе портов целевого адреса вас будет блокировать не только самый тупой оконечный роутер, но и вся цепочка управляемых маршрутизаторов провайдера. Вот нихрена подобного. БОльшая часть отечественных провайдеров никак не защищает от сканирования портов и возлагает эту почетную обязанность на конечного пользователя. В германии возможно и блокируют (может даже законодательно обязали), а у нас вот так. И подавляющее большинство бытовых роутеров тоже не умеют защищать от сканирования. Там просто нет такого функционала. А если говорить о не бытовых маршрутизаторах - там обычно надо предпринимать определенные телодвижения для включения такой защиты. Например по умолчанию микроток не защищает от сканирования портов. Надо определенным образом модифицировать его фаервол. Например вот так - https://настройка-микротик.укр/blokirovka-s...tov-v-mikrotik/ Цитата Ссылка на сообщение Поделиться на другие сайты
Radiohead 0 Опубликовано 30 октября 2020 Автор Жалоба Рассказать Опубликовано 30 октября 2020 Ну и вопрос ближе к теме. Можно свой QC замутить и подключить к нему NAS ? Я думал над этим. Пришел к выводу что ничего не получится. Можно заставить NAS поднять ВПН куда-то, и держать этот канал. Панель управления - Сеть - Сетевой интерфейс - Создать профиль ВПН Но это не решает проблему с приложениями для мобильных типа DS Cam Они автоматически подставляют quickconnect.to к имени которое вы туда вбиваете. Цитата Ссылка на сообщение Поделиться на другие сайты
freewind 0 Опубликовано 31 октября 2020 Жалоба Рассказать Опубликовано 31 октября 2020 Вот нихрена подобного. Отлично. Вот мой внешний белый ip. 95.84.207.205 Расскажите какие порты кроме 80 и 443 у меня открыты. И главное на каком весит dsm. P.s. повторюсь. Исходя из логов, ваших, атака идёт не по результатам сканирования портов, а по факту наличия среди ПК, которые имеют доступ к вашему nas заражённой машины из состава какой-то бот сети. Если интересно, могу рассказать про ту бот сеть, которую мы выводили у себя на предприятии... Цитата Ссылка на сообщение Поделиться на другие сайты
kucher 0 Опубликовано 31 октября 2020 Жалоба Рассказать Опубликовано 31 октября 2020 Я думал над этим. Пришел к выводу что ничего не получится. Можно заставить NAS поднять ВПН куда-то, и держать этот канал. Панель управления - Сеть - Сетевой интерфейс - Создать профиль ВПН Но это не решает проблему с приложениями для мобильных типа DS Cam Они автоматически подставляют quickconnect.to к имени которое вы туда вбиваете. QC онли? Да ну, не бывает чудес. DS Cam, судя по мануалу, в этом смысле мало отличается. Думаю, Вы зря для себя зарубили эту идею. Тем более что то, что Вы описали, это как бы само собой разумеющаяся схема включения в ЛВС, с внешним статическим IP, удалённого NAS. И это действительно работает. Цитата Ссылка на сообщение Поделиться на другие сайты
freewind 0 Опубликовано 31 октября 2020 Жалоба Рассказать Опубликовано 31 октября 2020 QC онли? Да ну, не бывает чудес. DS Cam, судя по мануалу, в этом смысле мало отличается. Думаю, Вы зря для себя зарубили эту идею. Тем более что то, что Вы описали, это как бы само собой разумеющаяся схема включения в ЛВС, с внешним статическим IP, удалённого NAS. И это действительно работает. +1 Они автоматически подставляют quickconnect.to к имени которое вы туда вбиваете. Но это не решает проблему с приложениями для мобильных типа DS Cam Добавлю. 1. ничего никуда не подставляется. Есть https://quickconnect.to/<что-то> туда передается ID, оттуда получается ссылка IP + port для доступа к DSM NAS (при белом IP) и уже на веб страницу нас передается логин пароль. при работе через сервера сино - по другому. Ответ сервера - другой. 2. все приложения для мобильных устройств отлично работают с IP и c DNS. НО с ограничениями связанными с портом... Соответственно ничего не мешает закатать все выше указанное (IP + Port) в туннель, и вылезти из него сразу на локальный IP NAS с портом внутри DMZ. Цитата Ссылка на сообщение Поделиться на другие сайты
Tirex 0 Опубликовано 31 октября 2020 Жалоба Рассказать Опубликовано 31 октября 2020 Отлично. Вот мой внешний белый ip. 95.84.207.205 Расскажите какие порты кроме 80 и 443 у меня открыты. И главное на каком весит dsm. Последняя цифра порта DSM 1 Plex 0 Kamera 4 И ещё порт 1 Цитата Ссылка на сообщение Поделиться на другие сайты
freewind 0 Опубликовано 1 ноября 2020 Жалоба Рассказать Опубликовано 1 ноября 2020 Последняя цифра порта DSM 1 Plex 0 Kamera 4 И ещё порт 1 И еще 20 портов. Открытых портов на нас с 1 в конце у меня 3... камеры с 4 на конце нет, или имелось ввиду что то другое? Цитата Ссылка на сообщение Поделиться на другие сайты
Radiohead 0 Опубликовано 1 ноября 2020 Автор Жалоба Рассказать Опубликовано 1 ноября 2020 Открытых портов на нас с 1 в конце у меня 3... камеры с 4 на конце нет, или имелось ввиду что то другое? По 554-му порту у вас видео с камер. Можете сами посмотреть - rtsp://95.84.207.205:554 Пароль думаю вы знаете) А вообще, из того что на вскидку - 80, 443, 554, 5551, 9025-9040, 9900, 9901, 16881, 32400 (plex), возможно еще и SSH на 22-м, но это не точно, глубоко не копал. Ну и 6881 для торрентов) На 80-й вы ftp что-ли повесили? С адресом ftp://pervolianinen.synology.me ??? Сухим остатком: а - вы НИКАК не защищены от сканирования б - у вас куча портов светит в инет хоть и большинство со статусом closed в - ваш DSM висит на порту 5551 с адресом https://95.84.207.205:5551 Заходи кто хошь и делай что хошь) г - как я и предполагал, вы НАПРМУЮ ходите на свой сервак через DS Cam используя QC ТОЛЬКО ПОТОМУ ЧТО У ВАС ОТКРЫТ ПОРТ 5551. Если вы его закроете - напрямую вы ходить не сможете. Только в обход через облако QC. А как только вы открыли порт 5551 - вы засветили вебморду своей DSM на весь интернет. Цитата Ссылка на сообщение Поделиться на другие сайты
freewind 0 Опубликовано 1 ноября 2020 Жалоба Рассказать Опубликовано 1 ноября 2020 По 554-му порту у вас видео с камеры в интернет идет) А вообще, из того что на вскидку - 80, 443, 554, 5551, 9025-9040, 9900, 9901, 16881, 32400 (plex), возможно еще и SSH на 22-м. Ну и 6881 для торрентов) На 80-й вы ftp что-ли повесили? Сухим остатком: а - вы НИКАК не защищены от сканирования б - у вас куча портов светит в инет хоть и большинство со статусом closed в - ваш DSM висит на порту 5551 с адресом https://95.84.207.205:5551 Заходи кто хошь и делай что хошь) г - как я и предполагал, вы НАПРМУЮ ходите на свой сервак через DS Cam используя QC ТОЛЬКО ПОТОМУ ЧТО У ВАС ОТКРЫТ порт 5551. Если вы его закроете - напрямую вы ходить не сможете. А как только вы открыли порт 5551 - вы засветили вебморду своей DSM на весь интернет. 1. Спасибо что проделали данную работу, мне из дома самого себя смотреть не интересно, так как не ясно как отреагирует оборудование провайдера... 2. На 80 у меня классический http. Просто идёт подмена ответа... Ftp у меня вообще нет. 3. Closed = закрыт, отсутствует 4. Мы уже обсуждали с вами, что если все порты закрыть, то ds cam работать не будет, как и любой сетевой продукт. Нет порта , нет доступа. Вариант - vpn и вход изнутри. 5. Светится по причине того, что вы знаете конкретный текущий ip, учитывая что он плавающий осуществлять автоматизированное сканирование - сложно. Ну и блокировка icmp отключена. Любопытно было посмотреть, что светится. МТС на мобильном за nmap периодически жёстко наказывает. А на работе все исходящие нестандартные залочены. Странно что на 9901 dsm нет. Должен быть (( Цитата Ссылка на сообщение Поделиться на другие сайты
Radiohead 0 Опубликовано 1 ноября 2020 Автор Жалоба Рассказать Опубликовано 1 ноября 2020 4. Мы уже обсуждали с вами, что если все порты закрыть, то ds cam работать не будет, как и любой сетевой продукт. Нет порта , нет доступа. Вариант - vpn и вход изнутри. QC так и работает. Если порт не проброшен конечно. Цитата Ссылка на сообщение Поделиться на другие сайты
Radiohead 0 Опубликовано 1 ноября 2020 Автор Жалоба Рассказать Опубликовано 1 ноября 2020 5. Светится по причине того, что вы знаете конкретный текущий ip, учитывая что он плавающий осуществлять автоматизированное сканирование - сложно. Ну и блокировка icmp отключена. Да не так уж и сложно. Ботсети осуществляют сканирование горааааздо быстрее чем допустим Shodan или там Censys. А блокировка пингов nmap-у не помеха... Цитата Ссылка на сообщение Поделиться на другие сайты
Radiohead 0 Опубликовано 1 ноября 2020 Автор Жалоба Рассказать Опубликовано 1 ноября 2020 2. все приложения для мобильных устройств отлично работают с IP и c DNS. НО с ограничениями связанными с портом... Соответственно ничего не мешает закатать все выше указанное (IP + Port) в туннель, и вылезти из него сразу на локальный IP NAS с портом внутри DMZ. Это будет шило на мыло. Ну подниму я ВПН на NAS в сторону допустим арендованной виртуалки. Запускаю DS Cam и в поле адреса вбиваю адрес этой виртуалки. Не важно, IP или DNS. И все естественно заработает. Но если я зайду на эту виртуалку просто по hhtp через браузер - Я ОПЯТЬ УВИЖУ ВЕБМОРДУ СВОЕЙ DSM :-) Потому что порт для DS Cam ВСЕГДА совпадает с портом DSM. Ну или с портом вебморды Surveillance Station. По хорошему порты для DS Cam (да и остальных мобильных приложений) и DSM должны быть разными. Но Synology решила сделать так как сделала. У меня например стоит охранная сигнализация Paradox. Там вебморда работает на стандартном порту 443, а вот управление через мобильное приложение висит на совершенно другом порту который относительно безбоязненно можно выводить в интернет. Цитата Ссылка на сообщение Поделиться на другие сайты
freewind 0 Опубликовано 1 ноября 2020 Жалоба Рассказать Опубликовано 1 ноября 2020 Это будет шило на мыло. Ну подниму я ВПН на NAS в сторону допустим арендованной виртуалки. Запускаю DS Cam и в поле адреса вбиваю адрес этой виртуалки. Не важно, IP или DNS. И все естественно заработает. Но если я зайду на эту виртуалку просто по hhtp через браузер - Я ОПЯТЬ УВИЖУ ВЕБМОРДУ СВОЕЙ DSM :-) Потому что порт для DS Cam ВСЕГДА совпадает с портом DSM. Ну или с портом вебморды Surveillance Station. По хорошему порты для DS Cam (да и остальных мобильных приложений) и DSM должны быть разными. Но Synology решила сделать так как сделала. У меня например стоит охранная сигнализация Paradox. Там вебморда работает на стандартном порту 443, а вот управление через мобильное приложение висит на совершенно другом порту который относительно безбоязненно можно выводить в интернет. Не на нас. Какая тогда дмз? На роутере перед нас. И никаких портов наружу. Вход через vpn сразу на локальный адрес со стандартным портом дсм. другом порту который относительно безбоязненно можно выводить в интернет. Хм. Какая разница тогда со сменой порта в дсм? Теже тапки. Вы можете и дсм дать безбоязненый порт... Цитата Ссылка на сообщение Поделиться на другие сайты
Radiohead 0 Опубликовано 1 ноября 2020 Автор Жалоба Рассказать Опубликовано 1 ноября 2020 Не на нас. Какая тогда дмз? На роутере перед нас. И никаких портов наружу. Вход через vpn сразу на локальный адрес со стандартным портом дсм Тогда на смартфон надо устанавливать клиента VPN. Т.е. сначала со смартфона надо будет поднять ВПН до маршрутизатора, потом на смарте запускать DS Cam в котором в поле адреса указывать адрес NAS-а в локалке. За такой изврат стандартные пользователи меня просто разорвут) Тут люди не понимают куда адрес QC в DS Cam вбивать, а вы предлагаете ТАКОЕ :-) Цитата Ссылка на сообщение Поделиться на другие сайты
Radiohead 0 Опубликовано 1 ноября 2020 Автор Жалоба Рассказать Опубликовано 1 ноября 2020 Хм. Какая разница тогда со сменой порта в дсм? Теже тапки. Вы можете и дсм дать безбоязненый порт... Разница в том что даже зная служебный порт охранной сигнализации вы абсолютно ничего (в теории) не можете сделать. Вебинтерфейса там нет, управление идет по каким-то непонятным закрытым протоколам. Которые еще и зашифрованы. А вот что делать с открытой вебмордой которая вам в открытую предлагает ввести логин/пароль - все прекрасно знают) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.