Светить или не светить ip-адресом организации в Интернет?

Question

[I.CaR Soft]

Есть локальный web-сервер с CGI. Далее проброшены порты, дабы работа сервера с CGI-приложением была видна на сайте. Всё раньше работало, потом поломалось (или закрыли из-за опасения взлома), теперь я восстановил - дали новое распоряжение люди далёкие от киберпреступности и снова заработало.
По клику на кнопке открывается адрес ip-устройства (физического маршрутизатора, он с NAT, который с белым ip от провайдера) :[порт] - далее относительный путь к [cgi].exe-приложению.

https://[ip-address маршрутизатора]/cgi-bin/cgi-aplication.exe

Приложение начало работать и взаимодействовать, но у меня стали нарастать опасения взлома...
Получается светится ip-локального (белый ip) устройства (маршрутизатора) на всё планету.
Это как-то можно поправить? Скрыть и как это вообще работает в 2025 году с точки зрения безопасности?

Comments

[Василий Банников]

Нифига из вопроса не понятно.
Если адрес в локальной сети, то его опубликование никакого риска не приносит.
Вот я скажу, что у меня очень важный девайс в локальной сети имеет адрес 192.168.0.2 - сможете его взломать?

Если у вас какой-то сервис в локальной сети поднят и нужен он только внутри локальной сети, тогда зачем его порты наружу пробрасывать?

Если доступ к нему нужен извне, то тогда откуда беспокойство?

Получается засветил ip локального устройства на всё планету.

Раз роутер был подключен к интернету с белым ip, то он уже давно виден на всю планету.

В общем сначала нужно понять проблему, а потом уже думаем над решением.

[GavriKos]

Какой интересный тег. Я думал это computer-generated imagery, но судя по набору вопросов это и то и что то из админства :-)

[Сергей Горностаев]

GavriKos, это из программирования, Common Gateway Interface.

[GavriKos]

Сергей Горностаев, оке, суть та же - под одним тегом два разных типа вопросов +по лого тега я бы сказал что это таки про арт

[Сергей Горностаев]

GavriKos, да, надо бы добавить описание и, возможно, разбить тег.

[I.CaR Soft]

Василий Банников, Устройство физическое в локальной сети - маршрутизатор (на котором NAT и он выходит в мир белым ip-адресом). Но адрес, раньше, не публиковался (вероятно выключили из-за войны с Украиной).
Сейчас я восстановил доступ к сервису и это выглядит так:
Пример:
Сайт гос.организации, в нем платформа работающая по адресу:

https://[ip-address маршрутизатора]/cgi-bin/cgi-aplication.exe

На маршрутизатор из вне доступ вроде как закрыт (но я не кибер-хакер, инъекции, сканер портов, взлом чрез порты - это не моё).
Вот теперь я и переживаю.
И как-то из опыта не часто встречаю видимость белых ip на сайтах крупных организаций (всякие управления лифтами, метеостанциями раздаются лишь некоторым), а вот взлом камер магазинов или уличных, очень про это часто уж пишут, думаю не брешут.

[I.CaR Soft]

GavriKos, CGI - Common Gateway Interface (если память не изменяет старику - раньше в связки с ним, в 2000-х сайты писали, exe-шник крутится, сайт через CGI в тырнет мутится.)

[I.CaR Soft]

GavriKos, Согласен. Меня тоже лого смутило. Надо разделить теги.

[Василий Банников]

I.CaR Soft, ip адрес маршрутизатора - это ip в локальной сети или белый ip?
Что понимается под "опубликованием"?
Если этот IP всегда был назначен ему, то он давным давно виден для всяких сканеров. Добавление веб сервера просто добавило ещё 1 открытый порт и выпустило в интернет что-то потенциально дырявое.

[Сергей Кузнецов]

Вы действительно не ощущаете разницы в значении слов «свети́ться» и «све́тится»?

[I.CaR Soft]

Василий Банников, белый от провайдера.

[I.CaR Soft]

Василий Банников, Есть сайт на стороне хостинг-провайдера - там один ip.
Есть оборудование с которого в сеть выходит организация через интернет-провайдера с белым-ip (маршрутизатор естественно с NAT).
Ip-сайта это одно (его не трогаем, там лишь сайт), ip-организации - это и есть он по ссылке, т.е. это прямой вход на маршрутизатор (если вход открыт), по web, SSH, telnet (это только которые я знаю подключения, они закрыты). Но я не хакер и много не знаю.

[Василий Банников]

I.CaR Soft, а что такое "засветили ip организации" и почему вы считаете, что раньше он не был засвечен?
Я правильно понял, что на стороне маршрутизатора в организации ничего не менялось, добавлен только сайт на хостинге, на который теперь ходят сотрудники этой организации?

[I.CaR Soft]

Сергей Кузнецов, Не по делу. Вам в раздел "лингвистика".

[I.CaR Soft]

Василий Банников, Да, верно, раньше он тоже был (скорее всего с 2019-го года, а может и ранее).
И лет 10 назад ни кто бы и не пытался бы взломать данную организацию через сетевое оборудование. Но атаки на организации находящиеся в РФ - теперь тренд у всего мира и площадка для тренировок студентов начинающих свою криминальную деятельность.
Пример - положить сеть\сервер - шантажировать сотнями тысяч $.
И да, маршрутизатор вроде как по SSH, telnet и web закрыт из вне, но я не хакер, может ещё какие-то протоколы управления существуют. И да, на нём ни чего по "программной топологии" пробросу портов не менялось.
P.S. Просто поломали до меня работу локального web-сервера и CGI сервиса. Я всё это локально лишь восстановил. Сайт был и ссылка это тоже была. Все могут заходить теперь по ссылке - весь мир. Это как бы так и надо. Но я думал есть технологии как-то вот "скрыть" ip-маршрутизатора с которого и выходит этот CGI.
Т.е. идея в присвоении ip что-то другое, хоть имя.
Допустим хотелось бы:

https://[site-name - или что-то другое]/cgi-bin/cgi-aplication.exe

Может в сторону htaccess смотреть?

[Василий Банников]

I.CaR Soft, у любой железки, которая торчит в интернет, обязательно есть ip.
Чтобы клиент мог обратиться по имени к серверу - это должно быть прописано в DNS (соответствие имени и адреса).

Так что обращение по имени буквально ничего не изменит.

Скрыть его от сети можно только подключением напрямую через внутреннюю сеть (хоть по воздуху, хоть по кабелю).

Чтобы проверить безопасность - можно воспользоваться теми же средствами, что и хакеры, начав со сканера портов.

Answer 1

[Drno]

Во первых к роутеру не должно быть доступа из вне
во вторых локальные IP светите сколько угодно, до них всё равно никто не достучится

Comments

[I.CaR Soft]

Вероятно не допоняли. Не локальный ip. А устройство физическое из локальной сети - маршрутизатор (на котором NAT и он выходит в мир белым ip-адресом).
Пример:
Сайт гос.организации, в нем платформа работающая по адресу:

https://[ip-address маршрутизатора]/cgi-bin/cgi-aplication.exe

На маршрутизатор из вне доступ вроде как закрыт (но я не кибер-хакер, инъекции, сканер портов, взлом чрез порты - это не моё).
Вот теперь я и переживаю.
И как-то из опыта не часто встречаю видимость белых ip, а вот взлом камер магазинов или уличный очень про это пишут, думаю не брешут.

[Drno]

I.CaR Soft, так а как Вы еще собрались давать (расшаривать) ресурс во вне, если не будет доступен внешний IP То?))
ну не хотите светить свой адрес - арендуйте хостинг \ vps и размещайте проект там...

насчет взломов - всё зависит от роутера и его настройки. для этого есть впринципе сисадмины, которые на железке разрешат то что надо и запретят остальное

Answer 2

[rPman]

Общие положения обеспечения безопасности - все сервисы, не используемые из интернета (но лучше все, кроме специализированных типа vpn или ssh, а доступ к остальным реализовать через них) должны быть закрыты фаерволом или настройками самого устройства...

spoiler

и не важно что именно это за сервис, статистически, уязвимости находят как в дешевом оборудовании, которое производитель не поддерживает десятилетиями так и в исходниках ядра linux, которое вылизывает и перепроверяет весь мир, тратя на это сотни тысяч человекочасов в год.

Из вопроса совсем непонятно, что это за cgi сервис. cgi это простая и популярная (используется до сих пор) технология реализации backend веб сервера в интернете, сама по себе не содержит уязвимостей (точнее уязвимостью будет неправильная настройка), но вот те приложения, которые обслуживают ответы веб сервера (у тебя это cgi-aplication.exe и кстати название в ссылке не обязательно совпадает с тем что используется) могут и будут содержать ошибки... мало того, если кто то умудрился реализовать cgi веб приложение на windows на основе cgi и .exe, с огромными шансами эти ошибки допустит, 'никто' в здравом уме так не делает.

В общем ответ - если есть возможность, то 'не светить'

Comments

[I.CaR Soft]

Вы меня более менее успокоили, что из самого CGI не чего не пробить, кроме того, что он выдаёт на web-интерфейс (лишь текст из БД).
Но вот ip-белый организации... Я побаиваюсь того, что слушал закрытый форум по оборудованию "Микротик", там говорилось о многократных взломах этого оборудования (уже не помни по какому протоколу) из вне.
Я переживаю за внутренний контур (за ЛВС).
Веб-интерфейс из вне закрыт. Пока с проекта видно лишь ip, как я и показал в примере.
Но почитывая нечасто статьи про взлом карт метро, через реверсинженеринг, про инкапсуляцию 10-12 команд по управление ПК в "микро ОС" на всяких UNIX и разворачиванию из в микро виртуалках на ПК жертв... То что могут сделать хакеры с ip адресом, я даже и не знаю. А от не знаний у людей возникают всякие страхи.
Раньше повсеместно пользовали RDP в 2000-х, сейчас из-за взломов через RDP, этот протокол почти канул в лету.
И лет 10 назад ни кто бы и не пытался бы взломать такую организацию. Но атаки на организации находящиеся в РФ - теперь тренд у всего мира и площадка для тренировок студентов начинающих свою криминальную деятельность.
Пример - положить сеть\сервер - шантажировать сотнями тысяч $.