Кто-нибудь настраивал port knocking на USG?

Кто-нибудь настраивал port knocking на USG?, UniFi Network

Eud

Guest

04.06.2016 21:03:00

Интересно, может кто-то уже игрался с настройкой port knocking на WAN-порту USG. Идеально было бы: если получена правильная последовательность "стуков", то для IP-адреса, который её отправил, на какое-то время разрешался бы вход по SSH через правила фаервола WAN_IN.

Eud Guest	#2 30.12.2016 15:09:00 Ты прав. Это гораздо лучше.

Aaarrrgggh Guest	#3 30.12.2016 05:08:00 На самом деле, порт нокинг просто скрывает проблему. Да, это дополнительный уровень безопасности, но не особо значительный. А как насчёт белого списка IP-адресов для ssh?

Eud

Guest

28.12.2016 12:15:00

По моему опыту, любой открытый SSH-порт в публичном интернете постоянно атакуют постоянными попытками входа, даже если все они обречены на провал. Мне также пришлось бы настроить какой-то мониторинг логов с черным списком, который заполняется недоброжелателями. Port knock просто скрывает открытый порт от интернета.

Aaarrrgggh Guest	#5 28.12.2016 02:13:00 Почему бы просто не использовать исключительно вход по сертификатам и не завершить этим? Отключение входов по паролю — это лучшая практика; порт-нокинг только усложняет жизнь.

cyrus104 Guest	#6 28.12.2016 02:06:00 Я видел, что упоминали fwknop (скомпилированный для mips), но похоже, что никто ещё не пробовал. Было бы интересно узнать, добился ли кто-то какого-то прогресса с этим.

Читают тему (гостей: 1)