Приветствую вас друзья на канале 🌏 В Мире Безопасности.
На этом канале я поделюсь с вами своим скромным опытом по монтажу и настройке систем безопасности и связи, будут обзоры оборудования и прочее. Надеюсь, что своими добрыми советами и вы меня многому научите 👊
Да ты крут "мастер", но тут так не работает, ты или предлагай варианты чтобы всем интересно было или указывай на ошибки ...а просто так ляля .... заблочу
Микрот использовать как маршрутизатор и систему безопасности первого эшелона, а далее можно добавить NGFW фаервол. Хорошим вариантом так же будет использовать порт кнокинг, но после попадания в белый список, чтобы разрешалось подключаться к узлу через другой IP, а не на который вы стучитесь.
Спасибо за совет по NGFW, серьезный заслон, но опять же как слаботочник наврятли когда то с ним столкнусь. Думаю это прерагатива админов и ИБ специалистов в более серьезных системах. Скажи есть ли какая ни будь триал версия в софтовом исполнении NGFW, которую можно потестить или оно только в хардовом исполнении?
@@bpkuban Конечно же есть софт для установки на железо либо на виртуалку. Как вариант, на просторах интернета можно найти Kerio control с таблеткой. Либо есть вполне себе не плохой Ideco UTM, который можно использовать с триальной версией в которой почти весь функционал, за исключением Антивируса касперского для вэб трафика и отсутствие правил IPS от лаборатории касперского.
смотря про что речь, если реверс шел, то это netcat админы и нехорошие дяди используют, если про софт на питоне, нигде...самописная прога под мои нужды
Что-то я мысль упустил). Зачем делать чёрный список, который банит на конкретном порту?) DROP так или иначе будет работать на неправильном порту, а так мы ещё и память будет тратить на это). Порткнокинг как по мне самое надёжное будет, правда надо бы сделать правила которые будут исключать злоумышленников из списка порткнокинг, если они будут стучаться на разные порты вне правильном порядке, я такое показывал у себя на канале на чистом nftables).
ну смотр у меня были случаи когда пытается обрабатывать именно один белый ip, конкретно один ip долбит, вот для таких случаев я и делаю хотя бы одну ловушку по известному порту в фаерволе. Это актуально когда у тебя как ни крути есть открытые порты на ружу, даже если нестандартные но по ним могут отработать Порткнокинг да вещь прикольная, поэтому разные варианты показал nftables круто, но тут попытался простыми словами показать логику работы простых цепочек, а так это можно было бы и в микроте показать в cli и в iptables.....но это сложнее новечкам в восприятии......
@@bpkuban Забыл что хотел спросить по микроту, вроде только помнил)). Микрот вроде напрямую с NetFilter общается, у него нет прослойки iptables или nftables?) В nftables добавили таблицу netdev она работает ещё до raw, я пробовал ддосить и drop делать в filter, raw и netdev, прям большая разница).
@@bpkuban Вспомнил)). Вот недавно, меня ддосили на порту 443 без указания домена, просто запросы на порт 443). Состряпал скрипт на bash который выясняет адреса, добавлял всех нарушителей в список, в nftables и делал им drop, почти как у тебя). В итоге оказалось не эффективно, список за пару суток вырос до около 200к адресов, ну и это же VDS там памяти по больше, и вроде как не критично, но мне этого было мало). В итоге я на python запустил ловушку TARPIT, она есть в репах, но именно на питоне вроде как она меньше ресурсов кушает, сейчас список в бан уже не 100-200к адресов, а около просто 50 ). Есть возможность на микроте, отправлять нехороший трафик в TARPIT?)
@@LinuxbyDmitry да микрот думаю напрямую с ядром общается netfilter .....имел ввиду другое....в видосе для простоты объяснял в понятном оконном режиме. Хотя ты в микроте можешь в cli так же писать например add chain=input protocol=tcp dst-port=8989 action=accept comment="WIN" что будет понятно всем кто работает в то й же утилите iptables в линухе Хороший коммент сделал, про тарпит нужно было тоже упомянуть, да такая возможность есть вешать соединения, для любителей посканить и подгадить. Но то как тебя бомбили 200к это круто, мой бы микрот тупо по памяти уже думаю лег. Я кстати на питоне тоже писал утилиты на scapy для tcp и udp флуда многопоточные.....проверял свое железо....когда был микрот 941й подобная атака изнутри сети ложила микрот просто влет (видос помоему даже на канале есть поищи). Снаружи таких налетов у меня не было поэтому интересно было бы послушать админов как правильно с крупным ddos бороться, полагаю когда количество запросов в единицу времени бешенное нужно либо на резервный канал провайдера уходить либо перед твоим добром хардовый файервол стоять должен Е
@@bpkuban У меня под ддос попал скажем так не значительный ресурс, которым по сути только я и пользуюсь, поэтому я в праве сделать там очень жёсткие ограничения). Изначально сделал ограничение в 10к соединений, то есть динамический список адресов пополнялся на час и всё что не попадало в этот список, в DROP, поэтому завалить сервер и не удалось изначально). Но правда они постоянно бомбили, да и сейчас пытаются заполнить этот список, что бы остальной трафик уходил в DROP). Сейчас скриптом из логов выясняю нормальные адреса, исключаю их из бан списка для нормального прохождения, ну остальное уже писал, сначала отправлял в DROP, что оказалось не эффективно, а сейчас в TARPIT). Тут как бы и DROP конечно не плохо справляется, если делать его в netdev таблице, но список большой накапливается и не хочу память на это расходовать, поэтому TARPIT лучше, они уже не могут бомбить как им хотелось бы).
круто! но для меня придётся смотреть несколько раз!) (я про понимание) подскажите как vless конфиг для дома в микротике прописать для обхода блокировок? валяется старенький 952
Здравствуйте. У вас есть возможность удаленно подключиться к моему компьютеру и настроить точно такой же комплект домофона. У меня не получается что только не делал на мониторе домофона ошибка 10200 тоесть не подключен к сети.
смотря какие дроны, FPV дроны разные бывают, видео канал аналоговый 5.8ГГц или 1.2-1.3ГГц, каналы управления 2,4 ГГц, от 600 до 1000 ГГц и куча разных частот, это я еше про autel и dji не говорил...куча ньюансов....щас столько этого добра и частотные сетки постоянно скачут.............
а что лучше в этом случае? я читал, что аппаратный рейд на китайских штуках вещь сама в себе. если выйдет из строя то никакой информации не вытащишь. поэтому программным наверно и сделано было, а так хз.
@@ДомашнийКот-б6ф ну тут вопрос спорный, аппаратные рэйды в китойчатене простые-зеркало, склейка и два раздельных, он их не распараллеливает как взрослый райд hp шный например аппаратный, в виду стрëмной шины нет смысла, а тупо зеркалит например или один переходит в другой так же как софтовый в винде, а в плане безопасности - отъедет ssd системный и вы соберëте потом свой райд? ))) риск один в один. Ну и опять-же не довряете аппаратному китайчонку-не берите аппаратный райд контроллер, тупо возьмите два бокса, зачем в 5-8 раз переплачивать за неиспользуемые функции? )))
VPN конечно хорошо, но пока избыточно кмк. что по деньгам, что по хлопотам. хороший роутер под openwrt стоит как 6 мес. аренды серва, при этом не надо заворачивать траффик и вообще руководить им. один раз настроил исключения и один раз подобрал пресет zapret'a и все. автор просто заложник микротика, к счастью или сожалению - не знаю даже. Через годик думаю ролик будет прям "к столу", так сказать...
под openvrt и zapret информации уже много, не вижу смысла дублировать, про микротик не понял к чему ты его упомянул, хоть я его и люблю, но о нем и слова не было по моему в этом видосе, его нет в цепочке настройки в данном варике...........это вариант один из, скорее всего он конечно подойдет для людей которые на своем vps хотят развернуть что то еще, более простой вариант наверно goodbydpi и прокси ну или openvrt роутер и zapret........
если мы говорим про клиентский обфускатор который у меня на расбери собран то нет, он тебе нафиг не нужен если цель запустить ютуб в твоей локальной сети, а вот если ты хочешь чтобы через него друзья или еще ктото ходил вне твоего дома то да тебе нужен ip адрес белый или ddns
поднял сервак в России через забугорного провайдера. Настроил VPN L2TP, роутер толком ничего не поддерживает . Вторые сутки все отрывается, ютуб без рекламы, до этого сервер в польше был, там реклама на польском была ))) Думаю какой роутер лучше покупать в будущем... Проблема в том что vpn нужен для роутера, так как на телики самсунг на оси tizer нет ни каких приложений vpn... Спасибо за видео!
варианты разные, кто пишет брать роутер с поддержкой openvrt и на нем разворачивать. У меня роутер микротик и поднять любой из тунелей на микроте не проблема.....я поднимал wireguard на нем дальше проблема в том чтобы завернуть трафик именно для ютуба в тунель, создание аксеслистов с ip гугла и определение их по dns не помогло, слишком уж их много, можно разбирать в микроте пакет до l7 уровня для определения куда трафик идти будет но это слишком нагруженное решение.....
QUICK - не помогает наличие IPv6 - не помогает для дома, если роутер Keenetic, лучшим вариантом будет XKeen можно найти подобное и под другие роутеры, но там будет условие - наличие OpenWRT
Имеется IPC Tester 9800 ADHS Plus. Хочу спросить по поводу приложения SpeedTest by Ookla (4.8.1) установленным на этом тестере. Имеется ли возможность измерения скорости интернета по LAN порту напрямую с рутера, свитча (по wi-fi измеряет)? Так как при отключённом wi-fi, напрямую патчкордом по LAN порту не получается. Или может быть другим приложением? Спасибо
Добрый день. А как настроить такой вариант . У меня есть раутер модем в зале . К моему компьютеру нет возможности провести провод. У меня есть майкротек раутер. Как с него подключиться по вайфай к основному раутеру и выводить интернет через порты , провод до компьютера ? Спасибо
Что то чушь какая то, где то логика есть.... а так чушь...бреееед бредятина! полнейшая...СТП блин... Рука ЛИЦО! Надеюсь автор вырос... и больше не говорит это бред спустя 2 года
Добрый день. А управление приводом ворот, тоже через промежуточное реле делали? Можно схемку получить?)Или сухой контакт, как в описание. Все от привода ворот зависит?
А если биос криво встанет или свет выключат при обновлении программатор единственный способ прошить биос? А то там сейчас наткнулся на инфу что с помощью биос флешбек прошивают через флешку даже если что-то пошло не так.
Помещение 1024 горячий цех, если правильно вижу, под серверной. В принципе, можно было бы попросить у архитекторов выгородку и организовать подъём непосредственно в серверную. Думаю, это не начинающий проектировщик, а фрилансер. Проект выполнен, что называется, без любви: вот вам за ваши 10к, и идите нах. И основная специализация товарища не СКС, а какая-то другая слаботочка. Чисто СКСник не стал бы перегружать схему ненужной инфой.
честно такого не было...предположу несовместимость версий...попробовать обновить первый вариант. Файервол штатный или антивирус на компе блокирует определенные порты второй вариант (попробовать отключить) ну а дальше гадать нет смысла как варик wiresharkom смотреть трафик и разбираться или позвонить в техподдержку хика по федеральному номеру....как правило все свои стандартные косяки они знают...помогут
привет.....гуглить такое я хрен знает где..... сам писал на питоне под свои узконаправленные задачи......если попадается большой объект и лень настраивать сам себе пишу......есть ли универсальное решение в виде скрипта? честно не встречал .....
@@bpkuban понял спасибо за ответ. А в целом по теории функционала скрипта, задача скрипта сгенерировать большое колличество рандомных макадрессов и отправить их на соотвествующий bssid точки доступа которую знаешь и посылтать из через броадкаст адресс ТД? Или тут нужно копать более низкоуровневое ковырялку через отправку кадров на сетевом уровне ? Или пакетов на транспортном ?
@@bpkuban та ну я понимаю что это за тебя и что яя не один такой умный что раз попросил и помогут подскажут )Думал что канал есть где общаетесть кроме всех этих форумов типа "чан" для школыты
Интересная тема, видно какое оборудование в настоящее время закладывается на объекты. Интересно этот проект делал один человек или несколько? Просто трудно быть профи во всех разделах. Мне кажется это не еденичный садик, и над этим проектом хорошенько поработали.
один почерк виден, фамилия видна, по стараниям видно что один....да по объему данных это вам не бухгалтер ип знаю ооо не знаю слаботочник должен знать все подсистемы.....хочешь не хочешь )) в проектах так же ... сам когда то ряд проектов для фирм делал .....
Народ правильно подмечает. Давайте уже че-нить интересное выкладывайте, а не ошибки в проектах-это не очень интересно. имхо. Что касается данного видео. Хоть я и не слаботочник, но тоже проектировщик, скажу что да, никто не застрахован от ошибок и много народу рисуют так, не задумываясь а как потом это монтажники будут монтировать?! В вашем же случае делайте по проекту иначе может статься так, что за все недостачи материала и отступления от проекта придется платить из своего кармана. Либо письменно согласовывайте с заказчиком все отступления от проекта, что опять же, убережет вас от многих проблем. Кстати, порой бывают случаи, когда приходится решать какую-то техническую проблему в результате чего появляются не очень красивые проектные решения. Попутно есть вопрос к вам, как специалисту по сетям, если позволите? Возможно ли организовать на секстантах микротика точка-многоточка с 3-й лицензией, но если одну тарелку использовать просто как приёмо-передающую антенну, а функции роутинга передать отдельному роутеру подключенному к ней по эзернет?
повторю , я не IT шник, видосы будут разные.....кому то одно нравится кому то другое....если вам нужно чистое IT разочарую вас тут такого не будет. По микроту sxt в основном использовал как мосты в безвыходных ситуациях, так что хз..........они к слову если не ошибаюсь есть и на 3й и на 4й версии...на третий не получится базу развернуть....раз ве что если лицензию купить 4ю.....
