Externy pristup k HA bez Nabu Casu

Ucelené projekty, návody a postupy.
rejze69
Aktivní autor
Aktivní autor
Příspěvky: 56
Registrován: 01. říjen 2022, 16:21
Dal poděkování: 2 poděkování
Dostal poděkování: 3 poděkování

Re: Externy pristup k HA bez Nabu Casu

Příspěvek od rejze69 »

Do jisté míry Tvůj názor chápu. Proxy server je jistě dobré řešení. Nicméně některá UTM řešení renomovaných značek používají v defaultu nestandardní port proč? Např. Sophos 4444. Předpokládám, že to nebude z neznalosti problematiky.
Pokud sleduji pokusy o neoprávněný přístup např. na Fortigate, tak pokud je pro Web Gui nastaven nestandardní port zmizí prakticky z logu pokusy o neoprávněné přihlášení, zato začnou být ale vidět pokusy na SSL VPN, která zůstala na standardním https portu. To potom znamená, že ani SSL VPN není ideální, pokud nenasadím vícefaktor.
Většinu těch pokusů ovšem zlikviduje nastavení geoID na Česko a civilizované že země ze kterých přístup potřebuji.
Samozřejmě nestandardní port přináší i úskalí a typicky na hotelových sítích, kde je omezen odchozí provoz na nutné služby pak mám smůlu.
Další důvody pro nestandardní port, že např. HA není jediná služba na kterou potřebuji z venku přistupovat, nebo že na tom portu naslouchá třeba zrovna SSL VPN na Routeru.
Asrock BeeBox N3000 atom. 4GB Ram, SSD128

PepYk_
Pokročilý
Pokročilý
Příspěvky: 111
Registrován: 03. květen 2021, 12:29
Dal poděkování: 2 poděkování
Dostal poděkování: 20 poděkování

Re: Externy pristup k HA bez Nabu Casu

Příspěvek od PepYk_ »

My lidé, co sítím vůbec nerozumíme, se podíváme, co třeba radí o portech z hlediska bezpečnosti (DDoS útoky) Loxone. Vím, Loxone by mohlo být na tomto foru sprosté slovo, ale princip přístupu na miniserver z vnější sítě je stejný...
https://www.loxone.com/cscz/blog/dulezi ... os-utokum/
Náš tým zaznamenal a analyzoval několik hlášení problémů s opakovanými restarty, díky čemuž odhalil výskyt DDoS útoků. Dotčené Miniservery měly jedno společné: využívaly standardní porty jako 80, 443 či 8080.

V rámci naší dokumentace i odborných školení doporučujeme používání nestandardních portů, například 7777 nebo ještě lépe nějakých vyšších než 50 000. Prostá změna portu výrazně sníží pravděpodobnost, že botnety najdou Miniserver, a tím předchází náhodným útokům.

Odpovědět

Zpět na „Komplexní projekty“