Web-авторизация для доступа к внешнему порту (RDP, FTP, IP-камера)

[Mult]

Хотел бы увидеть в Кинетик офигенную функцию, которая есть в роутере Juniper SSG-5, называется WebAuth.

Возьмем ситуацию, когда нужно открыть в интернет RDP, FTP, видеонаблюдение или еще что-либо для личного пользования.
С каких IP я буду подключаться к этим сервисам я заранее не знаю, а открывать для всех IP это не безопасно.
Я создаю правило доступа с любого "авторизованного" IP.
То есть чтобы для определенного IP открылся доступ к порту, нужно предварительно зайти на https страницу авторизации и ввести там правильные логин и пароль, специально созданные для этой авторизации.
Таким образом внешние порты закрыты для всех! Но могут открыться для конкретного IP после авторизации на web страничке.

Эту функцию уже давно использую на работе, ОЧЕНЬ удобно и безопасно, не нужно заморачиваться с настройкой VPN соединений на клиенте и вариантов использования множество.

 

Edited October 27, 2020 by Mult

[laforsh]

Mult похоже говорит об аналоге knockd, где вместо стуков ввод по https логина-пароля. И все равно после авторизации (или стуков) кто будет шифровать rdp и прочее ?

[keenet07]

Если вас совсем не беспокоит выпускать свой RDP, FTP и прочий трафик в открытую далеко по интернету, тогда можно и на доступ к портам забить и вообще всё удобно станет. 

А если серьезно, то лучше и безопаснее чем VPN тут решения не вижу. Ваше решение это немножко полумера. Ну посмотрим, может кому-то приглянется.

[vk11]

22 минуты назад, keenet07 сказал:

Если вас совсем не беспокоит выпускать свой RDP, FTP и прочий трафик в открытую далеко по интернету, тогда можно и на доступ к портам забить и вообще всё удобно станет. 

Мало того - потом обязательно забывается удалить правило/доступ - и вуаля, дырка.

[laforsh]

Так образуются серваки с free web cam, где можно посмотреть как кто живет в домашней обстановке. Выставить RDP и камеры наружу - только врагу такого пожелать. Если c vpn сложно, то настрой ssh+туннели. Результат какой и требуется, наружу ничего не выставляется и секьюрно.

Edited October 27, 2020 by laforsh

[Le ecureuil]

Верю, что наверное очень удобно, но что безопасно - ни капли, скорее "очень небезопасно".

[Mult]

3 hours ago, keenet07 said:

Если вас совсем не беспокоит выпускать свой RDP, FTP и прочий трафик в открытую далеко по интернету, тогда можно и на доступ к портам забить и вообще всё удобно станет. 

А если серьезно, то лучше и безопаснее чем VPN тут решения не вижу. Ваше решение это немножко полумера. Ну посмотрим, может кому-то приглянется.

Доступ открывается только для IP одного конкретного клиента! А сам трафик шифруется TLS (RDP, SFTP, HTTPS) И даже если предположить что его кто-то перехватит и расшифрует, то он не сможет подключиться тк порт будет закрыт для всех IP. 

Решение безопасное, если вы поняли правильно его реализацию. А VPN гораздо менее удобно использовать.

Edited October 27, 2020 by Mult

[Mult]

2 hours ago, vk11 said:

Мало того - потом обязательно забывается удалить правило/доступ - и вуаля, дырка.

Вы ничего не поняли. Правило с авторизацией, авторизация с таймаутом. Все закрывается автоматически, дырок не будет)

[Mult]

1 hour ago, laforsh said:

Так образуются серваки с free web cam, где можно посмотреть как кто живет в домашней обстановке. Выставить RDP и камеры наружу - только врагу такого пожелать. Если c vpn сложно, то настрой ssh+туннели. Результат какой и требуется, наружу ничего не выставляется и секьюрно.

Вы не поняли то о чем я писал! То что вы написали образоваться не может априори! Ничего наружу не выставляется, наоборот..

[keenet07]

7 минут назад, Mult сказал:

Доступ открывается только для IP одного конкретного клиента! А сам трафик шифруется TLS (RDP, SFTP, HTTPS) И даже если предположить что его кто-то перехватит и расшифрует, то он не сможет подключиться тк порт будет закрыт для всех IP. 

Решение безопасное, если вы поняли правильно его реализацию. А VPN гораздо менее удобно использовать.

Ну правильно, вы ведь только сейчас об этом написали. А до этого ни о каком шифровании трафика и речи не шло. RDP, FTP, IP камера, по умолчанию ничего не шифруется. 

[Mult]

Похоже я не совсем корректно описал.

Доступ изначально закрыт наружу. После веб-авторизации доступ открывается для одного конкретного IP клиента  и по таймауту закрывается.

Что именно будет передаваться через этот порт уже на усмотрение пользователя. Я все бы шифровал  TLS ( RDP умеет, sFTP, камера HTTPS)
Да и вообще перехват не настолько страшен, т.к. с левого IP подключиться невозможно будет

[Le ecureuil]

А чем вам так не мил vpn? Еще надежнее.

[Mult]

57 minutes ago, Le ecureuil said:

Верю, что наверное очень удобно, но что безопасно - ни капли, скорее "очень небезопасно".

Единственный небезопасный момент - это подключение через провайдера использующего NAT, когда через один IP выходят много народу. Но так одной авторизацией все не обходится любой сервис имеет свою авторизацию еще и доступ по таймауту закроется. В этот промежуток времени никто не успеет ничего заметить и взломать. Повторюсь каждый сервис должен быть защищен TLS почти так же как будто он открыт наружу для всех

[Mult]

15 minutes ago, Le ecureuil said:

А чем вам так не мил vpn? Еще надежнее.

каждому свое, мне не удобно на клиенте VPN настраивать каждый раз, а зайти на веб страничку это проще простого. И с настройкой VPN на разных устройствах бывают вылазят всякие косяки

Edited October 27, 2020 by Mult

[keenet07]

2 минуты назад, Mult сказал:

каждому свое, мне не удобно на клиенте VPN настраивать каждый раз, а зайти на веб страничку это проще простого

Это и не требуется. Вставляете свою волшебную флешку и запускаете портативный клиент VPN.

[Mult]

7 minutes ago, keenet07 said:

Это и не требуется. Вставляете свою волшебную флешку и запускаете портативный клиент VPN.

А если ее нет или не хочу доставать,а пара логинов-паролей в голове всегда. Да и вообще нет желания заморачиваться с настройкой впн портативного. Я эту функцию для простоты использования хочу. А впн, ssh тунели ни разу не проще

[Mult]

Респект  и уважуха ребятам из Juniper за эту функцию, которая у меня на работе избавила от огромного гемора в прежние времена, когда с впн было сложнее из-за разношерстного оборудования у пользователей.

А большинство просто не пробовали пользоваться такой функцией и внедрять ее, поэтому стали на дыбы и против...

Считаешь для себя это небезопасно/не нужно и тд - НЕ ПОЛЬЗУЙСЯ и другим не мешай

 

Edited October 27, 2020 by Mult

[vk11]

4 часа назад, laforsh сказал:

Так образуются серваки с free web cam, где можно посмотреть как кто живет в домашней обстановке.

Выставить RDP и камеры наружу - только врагу такого пожелать. 

🤣

Я видел состояние людей, получивших в сетку шифровальщик через рдп... 😡

[vk11]

2 часа назад, Mult сказал:

Вы ничего не поняли. Правило с авторизацией, авторизация с таймаутом. Все закрывается автоматически, дырок не будет)

Да как же тебя понять, если ты ничего не говоришь? (с) кино 😀

Где про это сказано в исъодном посте? Кроме того - таймаутом кто бужет рулить?

[Le ecureuil]

38 минут назад, laforsh сказал:

Mult похоже говорит об аналоге knockd, где вместо стуков ввод по https логина-пароля. И все равно после авторизации (или стуков) кто будет шифровать rdp и прочее ?

Так можно на WS поставить сертификат и запретить доступ не по сертификатам, но тогда я и смысла этой фичи не вижу - если доступ только по ключам, то разве что от zero-day спасать сервер.

[Mult]

On 10/27/2020 at 7:33 PM, laforsh said:

Mult похоже говорит об аналоге knockd, где вместо стуков ввод по https логина-пароля. И все равно после авторизации (или стуков) кто будет шифровать rdp и прочее ?

Да, это аналог Port Knocking, только более юзер-френдли. А как защищать то к чему откроется доступ  это уже по выбору каждого. Мне, например нужен доступ к видеорегистратору по SSL, но открывать порт для всех не хочу. Открывать VPN по логину-паролу-psk для всех то же не хочу, а VPN по сертификату это адский гемор, который нах не нужен, не на всех устройствах это вообще можно настроить...

[Mult]

On 10/27/2020 at 8:13 PM, Le ecureuil said:

Так можно на WS поставить сертификат и запретить доступ не по сертификатам, но тогда я и смысла этой фичи не вижу - если доступ только по ключам, то разве что от zero-day спасать сервер.

А на телефон тоже сертификат устанавливать? Я говорю о способе уйти от костылей, а не использовать их.

[Mult]

On 10/27/2020 at 5:47 PM, vk11 said:

Да как же тебя понять, если ты ничего не говоришь? (с) кино 😀

Где про это сказано в исъодном посте? Кроме того - таймаутом кто бужет рулить?

Оказалось оочень сложно донести мысль по массы.

Таймаутом естественно должен рулить кинетик. Отсекать либо от момента авторизации, либо по простою после закрытия соединения (второе предпочтительнее)

[Joe]

Поддержу, идея интересная. Банально можно находясь в гостях или в отеле легко получить доступ к своим ресурсам, при этом вполне безопасно.  
Некоторые участники накидали каких то страхов и штампов, в которых кажется сами до конца не разобрались. RDP как священная корова, что-то где то слышали и срочно нужно транслировать.
Разумеется дырки везде есть но конкретно проблема RDP - неправильно настроенная терминалка, слабые пароли и дырки в протоколе. Но это вообще никакого отношения не имеет к предлагаемой фиче/

И понятно что VPN более безопасно, но описанная тут фича мне кажется подходит для ряда сценариев и гораздо удобнее VPN. А реализовать должно быть не сложно.

Мне кажется вполне такая неплохая киллер фича, и не зря другие вендоры догадались это использовать

Edited December 12, 2020 by Joe D

[Usatyj]

А если эту фичу сделать опциональной, включаемой/отключаемой только через cli, в который никакая домохозяйка не полезет?

Edited December 12, 2020 by Usatyj

[dmitry.a]

В 12.12.2020 в 18:13, Joe D сказал:

Поддержу, идея интересная. Банально можно находясь в гостях или в отеле легко получить доступ к своим ресурсам, при этом вполне безопасно.  
Некоторые участники накидали каких то страхов и штампов, в которых кажется сами до конца не разобрались. RDP как священная корова, что-то где то слышали и срочно нужно транслировать.
Разумеется дырки везде есть но конкретно проблема RDP - неправильно настроенная терминалка, слабые пароли и дырки в протоколе. Но это вообще никакого отношения не имеет к предлагаемой фиче/

И понятно что VPN более безопасно, но описанная тут фича мне кажется подходит для ряда сценариев и гораздо удобнее VPN. А реализовать должно быть не сложно.

Мне кажется вполне такая неплохая киллер фича, и не зря другие вендоры догадались это использовать

Только Вас не пустят на непонятный порт в некоторых отелях и проч. организациях. А все сервисы завязать на один порт не получится.

А какой тайм-аут выбрать? Слишком короткий - неудобно, большой - небезопасно. Вот так в отеле вы отключитесь, а сосед подключится а того же IP адреса. Это хорошо, если сервис с шифрованием, а если нет? Так вы по открытой wifi все пароли засветите. В отелях обычно нет шифрования wifi.

Удобства мало. А ещё IP адрес могут вам сменить, и вам снова простукивать придется.

У меня настроен vpn, настраивается просто, работает отлично. Только кнопочку нажать, и уже в сети. Заодно можно весть трафик завернуть, чтоб не бояться открытых wifi.

[Joe]

В 14.01.2021 в 04:40, dmitry.a сказал:

Только Вас не пустят на непонятный порт в некоторых отелях и проч. организациях. А все сервисы завязать на один порт не получится.

Ерунда - практически ни разу не сталкивался с таким находясь в разных сетях, гостях, кафе и прочем.

Цитата

А какой тайм-аут выбрать? Слишком короткий - неудобно, большой - небезопасно

Не можете выбрать - не настраивайте себе. Я не вижу с этим проблем.

Цитата

Вот так в отеле вы отключитесь, а сосед подключится а того же IP адреса. 

Могу вам дать адресь RDP или FTP сервера где порт прямо сейчас открыт, за сколько минут подключитесь? Представляете - даже с вашего IP доступ разрешен. Настоящая дыра - скачаете мне оттуда все файлы?

Цитата

У меня настроен vpn, настраивается просто,

Да конечно, просто. Дам вам сейчас рандомный пк под windows\mac\linux, что там у вас PPPTP? OpenVPN? За сколько настроите? А если прав админа нет? А сертификат свой и профиль VPN готовы на другой комп скопировать?

Давайте посчитаем, сколько времени зайдет у вас настроить VPN а потом зайти по нему на личный FTP и посчитаем сколько в предложеной автором схеме - тупо авторизоваться в браузере а потом постучаться на указанный адрес через какой нибудь эксплорер, ввести свою учетку. Сложно? И даже плевать что FTP в открытую пароли передает, даже если его украдут - подключиться не смогут.  

Edited January 26, 2021 by Joe D