Port knocking как замена VPN?

Константин Фролов,

почему не боитесь за открытый rdp?

Дыкъ я же написал - у меня firewall решает эту проблему. Если конкретнее - iptables и доступ по белому списку. Этот вариант имеет свои минусы и свои ограничения применимости, но конкретно в моих условиях работает хорошо.
Port knocking имеет другие плюсы и другие минусы и тоже может работать хорошо в определённых условиях. Ничего не имею против port knocking.

Port knocking как замена VPN?

Если такого достаточно, то чем тебе сложный пароль не угодил?

Решает проблему взлома (хоть не гарантировано, но в существенной мере), но совсем не решает две других проблемы:
1. могут быть десятки в секунду и сотни в секунду попыток, что кладёт терминальный сервер - как бы смешно это ни звучало, но он тратит почти всю свою производительность на логирование этих попыток;
2. если злоумышь угадывает существующее имя пользователя, то уже после нескольких попыток учётка оказывается заблокирована; взлома нет, но пользователь не может работать; админ разблокирует учётку, но злоумышленный бот не останавливается и учётка блокируется снова и снова.
Так что какой-то дополнительный метод защиты нужен, но, конечно, это не обязательно VPN.

Кстати, использование нестандартного порта (что одни настоятельно рекомендуют, а другие называют совершенно бессмысленным) уменьшает раз в 100 или в 1000 именно две названных проблемы при отсутствии другой защиты. Если бы всегда чётко говорили об этом, как о способе митигации (mitigation), а не о защите, то споров было бы меньше, ибо настоящей защитой не является, но и бесполезным не является.
А при наличии серьёзной защиты дополнительные средства митигации несколько теряют актуальность, но всё равно не становятся полностью ненужными.

Port knocking как замена VPN?

Открывать до него rdp абсолютно небезопасно, вопрос времени когда его взломают.

Тю! У меня лет десять люди ходят на RDP без VPN, и нет такой проблемы. А если и взломают, то 99.9% это произойдёт изнутри сети через заражение и\или человеческий фактор. Снаружи прикрыто файерволом. VPN есть, но, как уже отметил Василий Банников, VPN решает другую задачу - связывает разные офисы в единую сеть.

Да, road-warrior-VPN решает задачу.
Да, port knocking тоже решает задачу.
И да, нормально настроенный firewall тоже решает задачу.

Можно ли прописать на публичных DNS ip серверов в локальной сети?

Kenny00,

это просто рабочая группа, без доменов.

Сервис DNS не зависит от наличия домена AD (наоборот, AD без DNS не работает, а DNS без AD сколько угодно). Можно без AD поднять на Windows Server роль DNS. Можно на Linux поднять DNS (несколько вариантов на разный вкус).
На некоторых продвинутых SOHO-роутерах (далеко не на всех) может быть возможность не только тупо форвардить все DNS-запросы, но и прописать свои записи.
Обычно в любом офисе есть хоть какой-то файловый сервер, вот на том же хосте можно добавить DNS, нагрузка от DNS примерно нулевая, если клиентов не сто тысяч.

Как убрать пред-вспышку камеры и уменьшить лаг между вспышкой и съемкой?

p-oleg, тогда посмотрите по тегу на Хабре, может быть что-то найдётся:
https://habr.com/ru/search/?target_type=posts&orde...

Как собирать MAC адреса в радиусе 50-70 метров?

Икотий Айтишевич,

- Подмена MAC адреса запрещена законом
- вот ты и спалился
- ???

Такой закон есть только у Ференги. Становится понятно ваше отношение к рекламе и к местным законам.

Где посмотреть MAC адрес в образе Windows?

255-0-0-1,

где то это значение должно быть
записано в файле

В чипе сетевого адаптера.

Как починить флешку?

Знаете про хомячка, которого принесли к ветеринару? "Хомячков не лечат, их меняют". Вот и флешки как хомячки, их не чинят, если форматирование не помогает.

Как можно поднять сервер внутри локальной сети? Что для этого выбрать?

Сеть локальная и не имеет доступ к внешней сети.

Это учебная задача? Или задача для стажера-сисадмина? Ответы для этих двух случаев разные. Детали, которые, вам следует уточнить для этих двух случаев разные.
Например, для учебной задачи следует сформулировать её целиком, как её сформулировал преподаватель, а не пересказывать своими словами только часть задачи.
Чем меньше подробностей о задаче, тем меньше у людей желания отвечать.

Как сделать запись звонков на телефоне?

Владимир Коротенко, прошу прощения за каламбур, но когда говорят о задаче "закрывать телом дверь в кабинет", то я представляю себе секретаршу в приёмной, а не топовый тел с приложением для умного замка. :)

Как сделать запись звонков на телефоне?

Владимир Коротенко,

или телефон подбирать причём не из самых топовых

А у кого топовый, тому пусть секретарша записывает. ;o)

Как из одинаковых кристаллов получаются разные процессоры?

F1eex, когда-то в прошлой жизни возможно было и такое: рисовали или перерезали перемычки на процессоре
https://3dnews.ru/172083
https://www.ixbt.com/cpu/new-amd-oc.html
https://www.ixbt.com/cpu/duron-oc-itc.shtml
https://overclockers.ru/lab/show/66432/-vosstanovl...

OC для маршрутизации на x86-64?

Bermut,

не совсем понимаю, что вы подразумеваете под "прокладка"?

это много лет назад из автомобильной терминологии пришло: "прокладка между рулем и сиденьем" https://dzen.ru/a/XWVOtaxBJACussxy

res2001,

Может взять нормальный обычный гипервизор, типа VMWare, Xen и т.п.

QEMU + KVM - и есть нормальный обычный гипервизор, уж все согласны, что лучше, чем Xen; а то, что QEMU + KVM лучше проприетарных VMWare, Hyper-V и VBox - это моё оценочное суждение, которое не буду навязывать.

Домен покупают или арендуют?

Justa Gain,

не увидел связи между арендой и почему все имена должны быть "уже сгенерированы".

Типа: нельзя же сдать в аренду то, чего у тебя ещё нет... :) а продать то, чего у тебя ещё нет - можно, это называется фьючерсный контракт. Терри Пратчетт довёл идею до абсурда:

Вероятно, ни в одном другом мире множественной вселенной нет складов для хранения вещей, существующих только in potentia, но анк‑морпоркский склад фьючерсной свинины является результатом введения патрицием правил, касающихся необоснованных метафор, и отсутствием воображения у горожан, которые предполагали, что все должно обязательно где‑то существовать, а также общей истонченностью структуры реальности вокруг Анка (реальность тут настолько тонка, насколько может быть тонка очень‑очень тонкая вещь). Конечным результатом торговли фьючерсной свининой, то есть свининой, которой пока еще не существовало, явилось строительство склада для ее хранения до тех пор, пока она не начнет существовать. Крайне низкие температуры были вызваны дисбалансом временного потока энергии.
(c): "К оружию! К оружию!"

А ещё тут можно обнаружить ретроактивный континуитет, потому что в более поздней книге того же цикла объяснение отличается:

Склад Фьючерсной Свинины был одной их тех сущностей, появляющихся в городах, слишком долго имеющих дело с магией. Его существование можно было объяснить оккультной причиной, если ее можно так назвать. Свинина была очень важным продуктом, потребляемым в городе. Будущая свинина, а возможно и не родившиеся еще свиньи, регулярно продавались и покупались торговцами. Следовательно, они должны были где-то существовать. В результате, в городе материлизовался ледяной склад, где появлялась свинина, прибывающая из будущего...
...Он ненавидел Склад Фьючерсной Свинины. Полупрозрачные туши еще не существующего мяса висели в воздухе, ежедневно накапливая реальность и приводили его в дрожь, не имеющую ничего общего с низкой температурой.
(c): "Бац!"

Есть ли ПО для блокировки USSD-запросов?

Почему кто-то должен захотеть их блокировать?

Взлом роутера или другое?

Ufgihokg, если погуглить, можно узнать, что они делают умные электросчётчики и прочие умные приборы.
Есть у вас что-то такое?
В любом случае, Одесса, бульвар Жукова, 40 - это просто юридический адрес компании, которая выпускает устройства, это вовсе не означает, что к вам в сеть кто-то из Одессы залез.

Как на один и тот же сайт заходить под разными адресами?

Rsa97, хм... Логику понял,.. просто у нас в компании с периодичностью в два-три года генерируются названия юр лиц типа:
1. ООО "Рога и Копыта"
2. ООО "Рога и Копыта Плюс"
3. ООО "Рога и Копыта ЖБИ"
4. ООО Торговый дом "Рога и Копыта"
5. ООО "Рога и Копыта Восток"
...
Тут, вроде, даже с разными IP-адресами должно быть очевидно, но всем пофиг. Как это всё устроено на бюрократическом уровне - выше моего понимания.

Как настроить интернет с выделением ip адреса для vm?

При попытке добавить другой IP получаю:

Parameter verification failed. (400)
gateway: Default gateway already exists on interface 'vmbr0'

Добавляя другой адрес, не нужно повторно добавлять default gateway, тогда и не будет этой проблемы.

Я не понимаю, что я делаю не так

Да, но вы не показали, что вы делаете - не показали конкретную команду или конкретный кусок конфиг-файла, чтобы можно было указать на конкретную ошибку.

Как на один и тот же сайт заходить под разными адресами?

Rsa97, можете в двух словах объяснить, в чём актуальность этой задачи?
Просто работал в разных компаниях, где было множество юр.лиц, и всегда все работали через один адрес, никогда не возникало подобного вопроса. Ведь сервисы по приёму отчётности не привязывают клиента по адресу.

Как на один и тот же сайт заходить под разными адресами?

Likbezup,

Тем более, RDP сессия может быть только одна, параллельно нужно работать нескольким специалистам

Чего это одна? На Windows Server с ролью RDS - сколько угодно сессий.

А в чём вообще проблема, если они с одного адреса будут работать? В каждом втором (если не в каждом первом) офисе дробят бизнес на несколько юр.лиц для оптимизации налогов и ещё для чего-нибудь, и ни у кого нет проблемы сдавать отчётность и т.п. с одного адреса. В том числе и в компании, где я работаю, не меньше десятка юр.лиц., работают с одного адреса.

Или может можно написать скрипт? батник, чтобы при его запуске менялся ip.

Да, можно так.