Объясните, пожалуйста, как это работает? "Враги" сканируют открытые порты, а мы пытаемся наказать их за это. Мы проигрываем эту битву Они знают наш порт и начинают его брутфорсить. Мы ставим защиту на брутфорс и они попадают в black-list На этом всё или нас не устраивает, что они даже пытаются брутфорсить? Если так, то что мы делаем? Port-knocking или что-то ещё? Я пытаюсь понять расклад этой войны на сегодня 2019 и понять какие меры наиболее эффективны, чтобы устройство нагружалось минимально.
Найдут очередной баг в микротике и в новостях как взламывают всё напишут ) У меня есть 2 роутера с публичным ip. На один всегда ломятся, но не могут попасть, на другом вообще тишина. Оказывается были чуть по разному фаерволы настроены (зачем-то были закрыты порты winbox и ssh). Просканил вдоль и поперёк nmap-ом всё. Тот на который не идут - nmap не смог определить вообще кто-это и что за железка. Наверное хорошо закрыть port knocking'ом если это надо порты. Ну и пусть микротик на почту шлёт логи по логинам на устройства. Хоть будете знать когда пришли. Хотя хер они придут мне кажется, если закрыто нормально всё.
Опять же, я думаю сканируют не просто так, а берут результаты какого-нибудь поисковика типа shodan.io. Потому что тот роутер на котором тишина, не попал в своё время под их робота и в результах не вылазит, а тот который попал - вылазит в результатах. На нём всё уже давно закрыто, но его постоянно пытаются залогинить по winbox/dude.
