На маршрутизатор подведен статический IP, от маршрутизатора идет локальная сеть. 
И так же маршрутизатор перенаправляет некоторые порты входящие соединения на сервер.
Могут ли в такую сетку залезть из инета и скопировать файлы (файлы расшарены)?
В данном случае интересует вопрос про уязвимости маршрутизаторов, а не компьютеров.
А так же, если это уязвимо, то может какие-то конкретные модели маршрутизаторов лучше/хуже?

есть такая штука как ACL вот ее настраиваем по портам (к примеру RDP ) deny 
и радуемся.

Если борлее серьезно подойти к данному вопросу то используейт фаервол (ASA,Pix)

В описанной схеме используется NAT, который подобен ниппелю: "туда дуй, оттуда х..." 

Так что зайти извне крайне проблематично. А вот PC стоящие в локальной сети могут быть участниками ботнета и давать доступ злоумышлинеку из вне доступ в локалку...

Сами роутеры так же уязвимы и к ним можно получить доступ, но это отдельная история.

У меня вот тоже локалка за NAT-ом.
На роутере проброшен только 22 порт для внешнего управления и работы извне с локальной сетью через SSH-сервер по внешнему ключу.

Есть ли при такой схеме необходимость ставить еще и файервол на том компе куда проброшен 22 порт?


Это сообщение отредактировал(а) kuzyaka - 22.4.2009, 15:45

если нат только для 22 порта 
скорее всего достаточно.... но бывают всякие случаи (и ssh тоже не идеален и ломается  ). Безопасность не может быть 100 %  

marykone, может. Для этого необходимо не подключаться к сети и не подпускать людей к ПК 

Уточню вопрос.

Есть ли разница в степени защиты когда проброшен порт на роутере и когда открыт порт на файерволе, в том же Касперском, например?

Или так - при установки файервола после роутера, на котором все равно надо открывать проброшенный на роутере порт, меняет это что-то в степени защиты или нет?

Это сообщение отредактировал(а) kuzyaka - 22.4.2009, 17:47

я учился на комплексную защиту информационных систем. Так вот, одну истину твердили "Главная угроза безопасности это человеческий фактор." вот по этому я так и высказался, да и ssh ломается точнее через порт 22 пролесть можно.
ю сам ssh сервер вешать можно. Просто другое дело куму это надо ! а кому хочется ума не хватает.

kuzyaka, файрвол поможет отфильтровать опасные запросы из сети в интернет... от тех же бекдоров. Они гораздо опаснее чем злом ssh.

Файрвол на доступ к ssh тоже полезная штука - открыть доступ с ряда ip, что снизит возможность сканирования...

могут.

главное не столько модель маршрутизатора, сколько правильное создание политики входа/выхода данных.
Кроме этого стоит следить за обновлениями безопасности.
Кроме этого взлом нередко проводят подключаясь к внутренней сети без ведома хозяев.

представим себе всё это в форме графа.
C - client, R-router, S-server.
и R, и S - всего лишь компьютеры. значит их можно как-то либо загрузить либо попытаться взломать.
по этому принципу - если ты на находишься за фильтром на уровне приложения (который напр. в случае с SSH отслеживает повторные подключения по разным пользователям в "нечеловеческом" ритме.), то нужно всё это фильтровать на самом сервере.
есть в Debian разные прикрутки, напр. fail2ban, или другие заготовленные списки цепочек iptables, для всех этих попыток.

если будешь сидеть на 22 порту, то тебя будут регулярно атаковать ботнеты. если будешь сидеть на другом, нестандартном порту, напр. 2277
то ботнеты тебя уже не будут атаковать, но если тебя кто-то хочет атаковать, они узнают, что порт 2277 открыт.