Просто пытаюсь узнать, сколько людей поддержат открытие порта на маршрутизаторе, например порта 22 или чего-то подобного для ssh, для всех внешних подключений WAN или просто набора определенных IP-адресов WAN для этой службы. Это будет сделано в попытке уменьшить количество взломанных сервисов. Протокол - ssh, конечно, лучшие практики для развертывания ssh. Я обратил внимание на то, что лучше всего заблокировать соединения с этим портом и позволить лишь небольшому количеству внешних IP-адресов подключаться из местоположений известных пользователей.
Это перебор? Я обычно открываю порт на маршрутизаторе для пользователей, поскольку им нужны эти услуги или меня просили открыть порт для поставщиков программного / аппаратного обеспечения, которым нужен доступ к их местоположениям. Я параноик, или есть определенное время / приложение, когда необходимо усилить его до такой степени? Спасибо.
Вы очень четко указываете «маршрутизатор», но я думаю, вы имеете в виду «межсетевой экран»?
В идеале открывайте только то, что необходимо. Чем яснее вы будете, тем лучше, но сформулировать общие правила не составит труда. Например, я обычно создаю правило, разрешающее любому внутреннему узлу использовать исходящий UDP / 53, чтобы любой клиент внутри мог выполнять внешний поиск DNS. Однако в случае разрешения входящего трафика SSH вы можете рассмотреть отдельные или совокупные правила для каждого ресурса. Таким образом, в ситуации отладки вы можете увидеть, какое правило соответствует какому трафику (или отбрасывается, если на то пошло). SSH в данном случае - это мощный протокол, который можно использовать для туннелирования трафика в вашу сеть. Если он был скомпрометирован, и вы разрешили подключаться только любому IP-адресу, вы могли бы немного повеселиться.
Я почти всегда открываю порты как можно меньшему количеству людей.