verejna ip - bezpecnost
ahoj vsem,
rad bych se zeptal. nove v praci vyuzivam verejnou IP adresu. kvuli tomu jsem si poridil novy router - mikrotik (tady jste mi pomahali s vyberem) - ktery umi vpn. nechal jsem si mikrotik a vpn a vzdalene plochy nastavit od profesionala. vse funguje jak ma.
a tady bych se rad zeptal na bezpecnost takove verejne ip adresy. ja se na mikrotik divam pres jejich winbox. tam v logu vidim uz pres 100 pokusu o prihlaseni (asi tedy pres webove rozhrani). vidim tam ip adresy ze kterych to zkouseji, vidim uzivatelska jmena, kterymi to zkouseji.
chci se zeptat, jestli cela bezpecnost stoji a pada se silnym heslem. chci rict, ze vim, ze heslo mam skutecne silne, nicmene, zajima me, jestli jsou i jine moznosti utoku na verejnou ip a nejde jen o silne heslo. a jak vubec prisli na to, ze je na internetu nova verejna ip. jak se o ni dozvedeli? namatkou jsem se dival, odkud zkouseji prihlaseni a je to povetsinou panama, holandsko..
dekuji moc
namátkou způsoby zabezpečení
- dlouhé -bezpečné - heslo nebo certifikát
- přihlašování na bázi challenge / response (aby nešlo triviálně generovat post požadavky odeslání formuláře) s logikou v javascriptu
Ale chytřejší je podle mě než dávat překážky/ztěžovat přihlášení, je tvářit se že žádné přihlášení neexistuje (nebude aktivní, neodpoví na TCP spojení) - do té doby, než provedeš nějakou sekvenci, která triggerne možnosti zpřístupnění loginu teprv.
- přihlašování jen z daného rozhraní
- přihlašování jen z dané(ých) IP
- přihlašování jen na daném portu (nebo port knocking/trigger) Například že nejdřív se pokusíš navázat spojení na port 2050,3210,2050,8000 během x sekund, router si tuto sekvenci zapamatuje a je to pro něj signál, že má pro tuto IP na x hodin povolí login (na jiném portě) . Nevýhoda= pokud vím není to standardizované a bude to nějak nutné na koleni programovat.
- přihlašování jen v určitou denní dobu