**Catalinx:**
** " In casa am un router, simplu de configurat, si as vrea sa il folosesc in spatele serverului , intre server si celelalte echipamente . Credeti ca in vreo situatie , este mai bine invers? Adica sa stea routerul primul , si in spate serverul la acelasi nivel cu celelalte calculatoare ?( Stiu ca va trebui sa forwardez niste porturi prin router). Eu m-am gandit ca e mai bine invers, sa separ reteaua de calculatoare , telefoane wireless , si alte echipamente virusabile , cat mai bine de server, si de outter world. As accepta contra argumente , daca-s explicate. "**
**Patkos Csaba:**
"Cat despre server, depinde cum ti-ai gandit tu logica de retea. Totusi, este mai logic sa ai routerul primul care sa faca NAT si firewall si sa opreasca rauvoitorii. Astfel nu-ti expui serverul la pericolele aflate pe Internet. Si daca pui serverul -> router -> computere asta inseamna ca tot traficul trece prin serverul tau, deci in loc sa te izolezi de ceilalti, dimpotriva routezi toate pachetele. Daca pui router->server&computere, atunci o comunicare computer->Internet trece doar prin router, fara sa treaca prin serverul tau, in concluzie ai serverul mai izolat.
PS: Daca vrei sa discutam mai mult pe aceasta tema, deschide un alt topic te ro"
---------
Asta e topicul.
Ca raspuns la discutia anterioara:
La asta m-am gandit si eu , la un moment dat, numai ca am doua probleme de care vreau sa tin cont.
1) Este foarte important sa pot sa protejez calculatoarele din reteaua locala ( altele decat serverul). Motivul este ca eu lucrez de pe unul din ele , si pe celelalte le foloseste familia , nu neaparat cu responsabilitate.
2) Routerul este si wireless , si intentionez sa il folosesc asa, ceeaa ce inseamna ca are si el oaresce vulnerabilati cu tot cu protectie wpa2 , wep.
Nu sunt un perfectionist si un carcotas , si accept ca exista puncte slabe in orice , incerc sa gasesc doar cea mai buna solutie pentru a administra un home network care contine un server de web/FTP/mysql/...etc , niste calculatoare - telefoane wireles , si mai sus mentionatul router.
Serverul ar trebui sa poata folosi ddclient pentru a-si updata ipul la dyndns.org...din motive obiective :)
---------
Circotas sau nu :bigsmile: io tin partea lui Csaba :p
adica pune tu routerul inaintea LAN-ului si dupa ai mai vedem ,
cit despre slabiciunile algoritmilor de cifrature ale cheilor wep wpax, etc, nu cred ca LAN-ul tau
este asa de apetisant ca sa merite efortul unui wardriving sau alea alea , ( sau ai banci in LAN-ul tau ??? :bigsmile: )
PS:
acuma ca stiu string vreo 20 de "good fellows" si vin la tine sub fereastra cu portatilele sa te fac , :bigsmile: :bigsmile:
Unix is user-friendly. It’s just very selective about who its friends are
1) Cred orice router cat-de-cat fabricat in utlimii 5 ani stie sa protejeze suficient. Ce router ai?
2) Slabiciunile wireless-ului sunt clare, dar indiferent unde pui routerul (inainte sau dupa server), daca vrei sa il folosesti pentru calculatoarele tale, daca cumva esti hackuit prin wireless rezultatul este cam tot aia. Adica nivelul de acces va fi la fel, hackerul va vedea aceleasi lucruri. Iar despre sansa de a sparge cineva wireless-ul tau ... sincer sa fie este undeva la zero. Stim cu totii ca wpa si wap pot fi descifrate relativ usor, dar in principiu nimeni nu sta cu un laptop la usa casei tale sa incerce. Eu nu mi-as bate capul cu asa ceva, cel putin nu in momentul de fata. Poate peste 5-10 ani cand wireless-ul va fi mai raspandit si hackerii se vor satura sa incerce servere pe net ... o sa incerce si in "home networks", dar cum nu au ce castiga, nu au de sa incerce.
3) ddclient pentru dyndns.org ... asta poate sa faca orice router mai modern.
Csabi′s BLOG
Linux registered user # 457717
Am un router de la [edimax BR-6226n](http://www.edimax.com/en/produce_detail.php?pd_id=305&pl1_id=1&pl2_id=2).
N-am apucat inca sa ma uit in el daca are sau nu ddclient sau asa ceva.
Si aprpopos de faza cu banicile, ...nici pe departe, dar aparent unii confunda serverul meu cu al bancii mondiale ca vedeam zilnic in loguri attempturi de brute force pe ssh , FTP...requesturi golanesti pe mysql... unele or fi si reusit, who knows...
Bots do all the hard work.We should only enjoy the game
Link:http://catalinx.homeftp.org/web/trx/
Alea erau scan-uri / incercari aleatoare de catre boti ... ma indoiesc sa fi stat careva mai mult de cateva zeci/sute de incercari.
Eu am un router Corega ... ieftineala totala ... cu wireless pornit (desi folosesc doar firul din el) fara parola, doar MAC filter, si niciodata nimeni nu m-a deranjat. Incercari din alea de ssh, ftp, etc vad si eu mereu, dar nu e mare stres.
Csabi′s BLOG
Linux registered user # 457717
Catalin:
- cine te impiedica ca sa ai porturi atipice pe router pentru serviciile ftp/ssh (ex 2456 la ftp si 8544 la ssh)?
- cine te impiedica sa ceri autentificarea pentru anumiti useri prin ssh ori FTP?
- cine te impiedica sa folosesti chei publice/private de autentificare la ssh?
...........
Cristian
http://www.mandrivausers.ro
Nu ma impiedica nimeni, sau in unele cazuri nestiinta. Numai ca:
-FTP-ul il shareuiesc cu prieteni /colegi .Oamenii nu stiu cum e cu porturi speciale, si incerc sa ramana simplu.
-Serviviul FTP este doar pe baza de autentificare (fara anonymous) dar am gasit loguri de boti (probabil) , care faceau atacuri brute force de 2-3 ore ( cateva mii de incercari -n-am numarat).
-Nu stiu prea bine cum e cu cheile de autentificare la serviciul de ssh , dar oricum , nu mi se pare foarte practic ( pentru mine) , deoarece intentionez sa ma conectez la server de aproape oriunde, si mi se pare "peste mana" cu cheie. In cazul asta cred ca parola este suficienta. Oricum nu ma autentific cu root direct , ci cu alt user.
Totusi cele mai mari vulnerabilitati pe care cred ca le are serverul meu nu cred c sunt nici pe departe la partea enuntata mai sus , ci tot felul de gauri prin anumite applicatii web-mysql , gen wordpresss, linpha ...si alte balarii facute de mine.
Oricum, cel mai important lucru nu este pentru mine ca serverul sa nu fie spart , ci ca sa nu compromit statia de lucru din reteaua de casa ( care este sub windows) deoarece este intr-un workgroup de business connectat prin VPN i-ar in cazul in care m-as prezenta in retea cu un sistem compromis increderea companiei in mine ar scadea si in mod sigur as avea de suferit.
Si cum spuneam , nu imi supraapreciez importanta informatiilor de pe calculatorul meu , e vorba doar de riscul compromiterii unei retele si de eticheta de compliant user sau nu, intr-o retea.
Intrebarea me legata de avantajele/dezavantajele unui server aflat in fata routerului sau invers , erau strict in acest context.
Imi este foarte limpede , ca daca vreau sa protejez serverul, este avantajos sa il trec in spatele routerului. Eu ma intrebam daca nu este avantajos pentru home network daca folosesc serverul ca un extra layer de protectie.
*Oricum , momentan folosesc configuratia cu router in fata si porturi forwardate catre server , pentru unele servicii folosesc server virtual pe router , si de asemenea am gasit ddclient , in router. Se pare ca merge si asa.
Ma gandesc acum , ca alternativa cu un extra layer , sa imi scot statia de lucru din home network si sa o pun un layer mai in spate , in placa a doua de retea a serverului. Asa ar urma sa am: router->server+home network-> statia mea de lucru.
Am sa fiu cam izolat fata de subnetul de homenetwork , dar banuiesc ca nu se poate sa merg si calare si pe jos .
Totusi , parca topologia asta suna mai bine si decat ce am propus initial , si decat propunerea cu router->homenetwork si atat...
Multumesc ,
Catalin
Bots do all the hard work.We should only enjoy the game
Link:http://catalinx.homeftp.org/web/trx/