[ТЕМА ЗАКРЫТА]
04.09.2007 05:44
Mike
 
Сначало обрисую ситуацию: есть несколько объектов, у каждого своя локалка, между собой никак не соеденены, везде есть выход в инет, подключение к инету разрешено для других компов.

Требуется: Настроить удаленное администрирование так чтобы можно было управлять любым компом через инет, проблема в том что у каждого объекта один IP в инете, и как подключится к нужному компу я не могу разобраться.. Вот. Надеюсь понятно объяснил.. :)

Заранее спасибо.
04.09.2007 06:08
Vovantus
 
Простого ответа для решения поставленной задачи нет. На вскидку, тупо ставишь везде RAdmin и подключаешься через него.
04.09.2007 07:00
Mtirt
 
Всё реализуемо.
Идешь в инет и читаешь про VPN в режиме туннеля.
04.09.2007 07:19
Vovantus
 
если нужно только админить компы без передачи файлов, то вариант с RAdmin'ом проще в реализации *12
04.09.2007 07:21
Mtirt
 
Только является очень серьезной дырой в безопасности сети в целом.
Держать наружу открытый порт. Мне жутко становится...
04.09.2007 07:31
Vovantus
 
Цитата:
Mtirt Только является очень серьезной дырой в безопасности сети в целом.
Держать наружу открытый порт. Мне жутко становится...
Вы слышали хоть раз чтоб через открытый порт, создаваемый RAdmin'ом, что-то можно было зделать плохого? Я ни разу такого не слышал. В настройках программы ставиться порт, отличный от стандартного, прописывается ip-фильтрация и всё работать будет нормально и вполне безопасно! Главное пароль хранить в тайне
04.09.2007 07:33
Mtirt
 
Пароль на radmin очень легко взламывается. По-моему даже здесь Олег ссылку приводил.
Открытый порт - это открытый порт. Можно и не только radmin-ом подключиться, но и что-нибудь похуже организовать.
04.09.2007 07:40
Vovantus
 
Цитата:
Mtirt Пароль на radmin очень легко взламывается. По-моему даже здесь Олег ссылку приводил.
Открытый порт - это открытый порт. Можно и не только radmin-ом подключиться, но и что-нибудь похуже организовать.
Например!? И каким образом можно подключиться к этому порту, если он открыт только для RAdmina? Я допускаю что плохо знаю организацию сетевых протоколов, но предполагаю что если порт открыт, то через него максимум можно зделать DDOS, т.е переполнить внутренний буфер и вызвать отказ в обслуживании на уровне ОС. Но повторюсь, я такого не слышал про RAdmin НИ РАЗУ!

З.Ы. Другое дело, что поставить RAdmin на ВСЕ компы - очень затратно в финансовом плане выйдет! Дешевле купить простые VPN маршрутизаторы и завязать все локальные сети в одну единую сеть!
04.09.2007 09:24
Mike
 
Понятно.. Пошел читать. Спасибо.
04.09.2007 20:01
OlegON
 
Цитата:
Vovantus Например!? И каким образом можно подключиться к этому порту, если он открыт только для RAdmina?
Просто... Порт - это просто порт для подключения. Про RAdmin ходили упорные слухи, что есть тулза, которая позволяла обойти авторизацию. Думаю, ты бы не обрадовался, если придя утром на работу обнаружил, что вместо сервака с базой у тебя сервак с порнухой и все лимиты на траффик перекрыты в 10 раз (неоднократный реальный случай). Может и происки конкурентов (для RDP обычный эксплоит был), но я не люблю теперь RAdmin и RDP наружу выставлять. Равно, как ftp и другие порты, которые могут быть использованы для взлома или просто гадостей.
05.09.2007 00:53
Vovantus
 
Цитата:
OlegON Просто... Порт - это просто порт для подключения. Про RAdmin ходили упорные слухи, что есть тулза, которая позволяла обойти авторизацию. Думаю, ты бы не обрадовался, если придя утром на работу обнаружил, что вместо сервака с базой у тебя сервак с порнухой и все лимиты на траффик перекрыты в 10 раз (неоднократный реальный случай). Может и происки конкурентов (для RDP обычный эксплоит был), но я не люблю теперь RAdmin и RDP наружу выставлять. Равно, как ftp и другие порты, которые могут быть использованы для взлома или просто гадостей.
Я уважаю Ваше мнение, Олег, но если верить слухам и домыслам неграмотных людей, то единственный вариант - это вообще не давать к "важным" серверам доступ. Т.к. в конечном варианте остановить работу сервера, либо даже получить доступ к нему может любой человек, у которого хватит знаний в нужных областях. Но для этого нужна мотивация, которая за частую определяется ценой вопроса.
Если вернуться конктретно к портам, то хочется немного раскруть суть вопроса и станет ясно, что через порты радмина нифига зделать не получиться:

Цитата:
Порт — это поле в tcp- или udp-пакете, идентифицирующее приложение-получателя (и отправителя, в пакете этих полей два) пакета.
Цитата:
Каким образом приложение работает с сетью? Приложение обращается к операционной системе с запросом на создание сокета. Операционная система регистрирует, какое приложение обращается к нему с этим запросом, и формирует привязку приложения к сокету — выделяет порт. Этот порт служит для обмена информацией по сетевым протоколам, и вся информация, полученная из сети для порта с этим номером, в дальнейшем передается нужному приложению.
Цитата:
Сокет — это название программного интерфейса для обеспечения информационного обмена между процессами. Процессы при таком обмене могут исполняться как на одной ЭВМ, так и на различных ЭВМ, связанных между собой сетью. Сокет — абстрактный объект, представляющий конечную точку соединения.
Что из этого следует? Если прибыл пакет на порт, которому не сопоставлено никакое приложение, то пакет будет просто выброшен операционной системой, и обрабатываться не будет.

Можно дополнительно в настройках радмина поставить другой порт и настроить ip-фильтрацию, т.е. принимать пакеты только с определённых хостов - это увеличит безопасность.

Олег, если Вы любезно предоставите ссылку на информацию по взлому последней версии RAdmin'а, то скажу Вам большое спасибо Извините за отклонение от темы!
05.09.2007 08:10
OlegON
 
Если я и предоставлю какую-то ссылку, то могу поиметь проблемы за взлом и прочее, тем паче, что ссылки у меня нет, ребята из фаматеча постарались, да и не работаю с этим уже достаточно давно. Что касается "неграмотных людей", то если бы ты как следует окунулся в мир троянов и эксплоитов, то сам бы стал немного параноиком. Цитировать определения, которые я уже даже не 100 раз видел не нужно, я про то, что если есть мало мальски сложное приложение, то лучше его убирать из сети.
Цитата:
Можно дополнительно в настройках радмина поставить другой порт и настроить ip-фильтрацию, т.е. принимать пакеты только с определённых хостов - это увеличит безопасность.
Читаем на тему спуфинга и сканирования портов :) Только не надо про ловушки и антискан, у тебя же их сейчас нет? ;) Ты исходишь из того, что система и программа работают так, как задумано. А я помню, что есть ошибки и намеренно оставленные дыры, которые кто-то находит в конце концов и выкладывает инструмент, доступный чайнику.
05.09.2007 08:29
Vovantus
 
Ошибаешься, Олег. За эксплоитами слежу, если нахожу что-то интересное для себя, то компилирую исходники и пробую на своём компе.. Но ни разу не слышал про взлом компа через открытый радмином порт. Я допускаю что в ОС есть дыры, которые можно поюзать используя открытые порты. Но для того чтобы этого не допустить - нужно всегда следить за критическими обновлениями для ОС и своевременно латать сервак! Если хочешь продолжать тему - создай ветку и мы обсудим этот вопрос предметно
05.09.2007 11:09
OlegON
 
Если честно, немного некогда предметно обсуждать. Просто покопай на эту тему, при желании поймаешь информацию на тему того, что сначала находятся дыры, а потом заплатки делаются, причем со значительным отрывом. тот же Smbdie работал чуть ли не до третьего сервиспака. И про слом радмина, правда все таки предыдущей версии, было написано много...
27.04.2008 03:48
Musinnosin
 
Привет. Забавно конечно, вопрос по поводу того, как организовать удаленное администрирование машин в разных точках превратилось в обсуждение на форума секюрити лаб ))) 1,5 года прошло, ну для тех кто не в курсе. Минимум нужно привести сети во всех офисах под один шаблон, как то 10.47.0.x, маска 255.255.255.0. В каждом офисе должен был выделенный сервер под маршрутизатор на 2003, если нет возможно организовать провайдерский впн, соответвественно с помощью консоли "маршрутизация и удаленный доступ" организуем в каждом офисе NAT c ВПН, на своем компе в каком нить офисе ставим dameware, и в общем запустив его ты автоматом увидишь все компы во всех офисах, ну если ты коненчо связал все офис в один домен ))) что не увидишь можно добавлять ручками, если не связывал в домен все сети, то должен знать рутовский пароль в каждом домене, если нигде нет домена то должен знать пароли локального рута, в общем кого организует четко как связывать удаленные офисы пишите *170
Опции темы


Часовой пояс GMT +3, время: 02:55.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.