Камеры +видеорегистратор или IP-камеры - какую систему видеонаблюдения выбрать?

[standov]

1 час назад, John Doe сказал:

Port WG "замаскований" під відсутність будь-якого сервісу на цьому Порту

Та ні под що він не замаскований, так працює udp) завжди, чесно-чесно

[Mr. D]

27 хвилин тому, Mr. D сказав:

Програма nmap має можливість знайти серед усіх можливих UDP портів, порт який відкрито WireGuard. Але визначити, що це саме WireGuard можливості немає.

Тому якщо бути точним порт WireGuard класифікується, як "open|filtered", а не "closed". Приклади з "open|filtered" та "closed" є вище.

Цікаво, що буде у разі OpenVPN (UDP). Думаю, просто "open" або "open|filtered".

[standov]

1 минуту назад, Mr. D сказал:

Цікаво, що буде у разі OpenVPN (UDP). Думаю, просто "open" або "open|filtered".

Те саме буде на 4му рівні )))

[Mr. D]

1 хвилину тому, standov сказав:

Те саме буде на 4му рівні )))

Згадування рівня OSI у цьому випадку немає значення.

Чому не "open"?

[standov]

Только что, Mr. D сказал:

Згадування рівня OSI у цьому випадку немає значення.

Чому не "open"?

1) має

2) бо так працює udp

3) щоб знати опен чи не опен треба отримати підтвердження отримання датаграми, tcp відправляє підтвердження udp ні, це архітектурно так, іншого не передбачено, так задумано, так воно працює, це база

[Mr. D]

12 хвилин тому, standov сказав:

1) має

2) бо так працює udp

3) щоб знати опен чи не опен треба отримати підтвердження отримання датаграми, tcp відправляє підтвердження udp ні, це архітектурно так, іншого не передбачено, так задумано, так воно працює, це база

Мені здається, Ви не до кінця розумієте що і як працює.
Ви розказуєте про 4-й рівень, але в одному з моїх практичних прикладів присутній пакет протоколу 3-го рівня.

[Mr. D]

29 хвилин тому, standov сказав:

1) має

2) бо так працює udp

3) щоб знати опен чи не опен треба отримати підтвердження отримання датаграми, tcp відправляє підтвердження udp ні, це архітектурно так, іншого не передбачено, так задумано, так воно працює, це база

Загалом мова була ось про ці визначення

"...Table 5.3. How Nmap interprets responses to a UDP probe

Probe ResponseAssigned State

Any UDP response from target port (unusual) - open

No response received (even after retransmissions) - open|filtered

ICMP port unreachable error (type 3, code 3) - closed

Other ICMP unreachable errors (type 3, code 1, 2, 9, 10, or 13) - filtered..."

nmap.org/book/scan-methods-udp-scan.html

 

Й саме про ці інтерпретування "open" або "open|filtered" і йшла мова

[standov]

сил немає, інколи таке складається враження шо це якийсь глобальний експеримент з впровадження чатгпт в форум (

вам нічого не вкидається в очі в цьому відрізку тексту? слова interprets, unusual, open|filtered?

Неможливо на *4му* рівні визначити чи є шось на порту udp, можна зробити лише припущення шо якщо там тишина то порт або відкритий, або правильно фільтрується. Закритий порт ви надйіно не визначите (лише у випадку кривого *unusual* фільтрування), тобто іншими словами є якийсь невеликий відсоток unusual стейтів коли порт буде закритим в усіх інших стейтах він в умовно-позитивному статусі open|filtered, що фактично означає "хер його знає але на всяк випадок думаємо що відкритий"

Змінено 5 січня користувачем standov

[Mr. D]

Все що мені цікаво, я побачив, а саме nmap ідентифікує UDP-порт WireGuard та UDP-порт OpenVPN однаково, як "open|filtered" та ні WireGuard, ні OpenVPN не надсилає ніяких відповідей. У той час як UDP-порт, який ніхто не використовує ідентифікується як "closed".

Тому будь-яке маскування WireGuard працює також як й з OpenVPN.

Й ось щоб отримати інтерпретацію "closed" треба отримати "ICMP port unreachable error (type 3, code 3)" й, можливо, такі налаштування існують для firewall'ів.

Змінено 5 січня користувачем Mr. D

[standov]

1 минуту назад, Mr. D сказал:

nmap ідентифікує UDP-порт WireGuard та UDP-порт OpenVPN однаково, як "open|filtered" та ні WireGuard, ні OpenVPN не надсилає ніяких відповідей. У той час як UDP-порт, який ніхто не використовує ідентифікується як "closed".

1) саме так, не важливо що на юдп порті працює, сканування на 4му рівні буде мати однаковий вигляд "не визначено", тому у nmap є сканування на вищому рівні де він намагається вгадувати протоколи вищого рівня (не пам'ятаю здається -v ключ але то не точно бо ніколи на практиці не мав нагоди)
2) інтерпретацію closed ви отримаєте за умови або кривого налаштування ф-ла на 4му рівні або якщо на *3*-му!! рівні на рівні файрволу закритий ICMP

[standov]

5 минут назад, standov сказал:

не пам'ятаю здається -v ключ але то не точно бо ніколи на практиці не мав нагоди

-sV: Probe open ports to determine service/version info

[Mr. D]

5 хвилин тому, standov сказав:

1) саме так, не важливо що на юдп порті працює, сканування на 4му рівні буде мати однаковий вигляд "не визначено", тому у nmap є сканування на вищому рівні де він намагається вгадувати протоколи вищого рівня (не пам'ятаю здається -v ключ але то не точно бо ніколи на практиці не мав нагоди)

Тобто nmap має можливість відрізнити OpenVPN від WireGuard або ні?

[standov]

Только что, Mr. D сказал:

Тобто nmap має можливість відрізнити OpenVPN від WireGuard або ні?

при стандартному скануванні він не може відрізнити будь які сервіси на udp, не може навіть сказати напевно чи там щось є.

В "-sV: Probe open ports to determine service/version info" я хз, ніколи не пробував але дуже сумніваюся

[Mr. D]

11 хвилин тому, standov сказав:

2) інтерпретацію closed ви отримаєте за умови або кривого налаштування ф-ла на 4му рівні або якщо на *3*-му!! рівні на рівні файрволу закритий ICMP

Тобто Ви вважаєте налаштування за замовчуванням Ubuntu Linux "кривими"?

 

[administrator@localhost ~]$ ping -c 1 172.160.14.186
PING 172.16.4.186 (172.160.14.186) 56(84) bytes of data.
64 bytes from 172.160.14.186: icmp_seq=1 ttl=64 time=0.482 ms

--- 172.16.4.186 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.482/0.482/0.482/0.000 ms
[administrator@localhost ~]$ sudo nmap -sU -v 172.160.14.186 -p 25003
Starting Nmap 7.92 ( nmap.org ) at 2024-01-05 14:04 EET
Initiating ARP Ping Scan at 14:04
Scanning 172.160.14.186 [1 port]
Completed ARP Ping Scan at 14:04, 0.03s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 14:04
Completed Parallel DNS resolution of 1 host. at 14:04, 0.02s elapsed
Initiating UDP Scan at 14:04
Scanning 172.160.14.186 [1 port]
Completed UDP Scan at 14:04, 0.00s elapsed (1 total ports)
Nmap scan report for 172.16.4.186
Host is up (0.00042s latency).

PORT      STATE  SERVICE
25003/udp closed icl-twobase4
MAC Address: 08:08:08:08:08:E8 (Oracle NIC)

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.16 seconds
           Raw packets sent: 2 (56B) | Rcvd: 2 (84B)

[standov]

1 минуту назад, Mr. D сказал:

Тобто Ви вважаєте налаштування за замовчуванням Ubuntu Linux "кривими"?

я вважаю що ви не вмієте читати, там ще є опція про icmp 

[Mr. D]

8 хвилин тому, standov сказав:

при стандартному скануванні він не може відрізнити будь які сервіси на udp, не може навіть сказати напевно чи там щось є.

В "-sV: Probe open ports to determine service/version info" я хз, ніколи не пробував але дуже сумніваюся

Як раз я бачу різницю, а саме отримую очікувано "open|filtered" або "closed". Тому роблю висновок, що наявність чогось видно (WireGuard, OpenVPN або щось інше).

[standov]

...рве волосся на голові тікає городами

[Mr. D]

1 хвилину тому, standov сказав:

я вважаю що ви не вмієте читати, там ще є опція про icmp 

Ваші знущання я переживу.

Не бачу конкретної відповіді. Мій приклад показує, що ICMP працює, але все одно я отримую "ICMP port unreachable error (type 3, code 3) - closed" та відповідно бачу такий пакет в мережі.

[standov]

вибачте я вас заблокую, не тому що ви шось не так робите, ваше право просто я не можу то все читати а воно постійно вилазить в нотифікаціях, пропоную вам зробити так само в мою сторону, в нас з вами занадто різні уявлення про логіку та причинно-наслідковість 

[Mr. D]

5 хвилин тому, standov сказав:

вибачте я вас заблокую, не тому що ви шось не так робите, ваше право просто я не можу то все читати а воно постійно вилазить в нотифікаціях, пропоную вам зробити так само в мою сторону, в нас з вами занадто різні уявлення про логіку та причинно-наслідковість 

Я звернув увагу, коли у Вас немає відповіді або Ви щось не знаєте, то відбувається знущання на 3 - 4 сторінки.

Тому я не побачив того, про що Ви розказуєте на практиці.

 

Що й де не вірно налаштовано? Я подивлюсь відповідні налаштування й ще раз протестую рішення.

Змінено 5 січня користувачем Mr. D

[Dessi John]

Друзі, привіт. Дуже вилике прохання пройти це опитування, воно повнстю конфеденційне і займе 2-3 хв Вашого часу. Буду дуже вдячним! forms.gle/GJFp3Dim3EFnJqdx8

[Mr. D]

Завершуючи тему WireGuard та OpenVPN є ось ще така думка

"...If you think about this 'stealth' result vs one that actively sends a 'reject' response, the more secure is the no-answer situation because it reveals nothing at all. You can compare it to answering the phone and saying "go away" vs not answering at all... if you answer, the caller knows that you're there, but if you don't answer at all, they have no idea if your number works at all..."

forum.openwrt.org/t/increase-wireguard-security-udp-port-open-filtered-closed/113402/9

 

Тобто стан який nmap інтерпретує як "open|filtered" фактично, схоже, найбезпечніший.

У той час, якщо сервер\маршрутизатор" надсилає відповідь у вигляді ICMP-пакету, що nmap вважає як "closed", можливо вважати як хтось відреагував на попередню операцію.

Тому у разі WireGuard та OpenVPN (UDP) відбувається все однаково.

Й, схоже, можливості зробити примусово так, щоб був надісланий пакет "ICMP port unreachable error (type 3, code 3)", якщо серверу (сервісу WireGuard або OpenVPN) не вдалося ідентифікувати\автентифікувати клієнта немає.

Тому WireGuard не має ніякої переваги саме в цьому (відносно OpenVPN (UDP)).

Змінено 5 січня користувачем Mr. D

[John Doe]

4 часа назад, standov сказал:

Та ні под що він не замаскований, так працює udp) завжди, чесно-чесно

Ніколи не говори ніколи
розглянемо сервіс DNS на порту 53 (UDP)
Порт udp чудово відповідає на DNS - запити

І сервіс чудово сканується будь-якими сканерами

 

А ось сервіс WG не відповідає доти, доки не отримає ключ.

Змінено 5 січня користувачем John Doe

[John Doe]

59 минут назад, Mr. D сказал:

Тому WireGuard не має ніякої переваги саме в цьому (відносно OpenVPN (UDP)).

За інших рівних умов значно легковажно, жере менше процесор, а з безпеки нічим не гірше, ніж Open VPN

Якщо будувати тунель для зв'язку між своїми вузлами, то, звичайно, краще вибирати WG

Змінено 5 січня користувачем John Doe

[Mr. D]

4 хвилини тому, John Doe сказав:

розглянемо сервіс DNS на порту 53 (UDP)

Можливо, також NTP, який здається за замовчуванням працює зі 123 портом