У меня есть переключатель (HP ProCurve 1810-24G если быть точным) и размещается в дата-центре.
Для защиты коммутатора на нем есть длинный пароль. Но есть один большой недостаток: любой, у кого есть IP-адрес, имеет доступ к экрану входа в систему. Хотя обычно это не проблема, мне это не нравится. Происходят некоторые атаки методом перебора, и кто знает, что для коммутатора может быть доступен эксплойт нулевого дня. Коммутатор не имеет возможности «автоматически блокировать» IP-адреса с частыми попытками входа в систему, а также не имеет белого списка разрешенных IP-адресов.
Итак, мой вопрос: как защитить этот коммутатор лучше, чем у меня сейчас? Я думал о присвоении ему частного IP-адреса, но затем, когда мой сервер выйдет из строя, я не смогу получить доступ к коммутатору (если мне это понадобится по какой-либо причине).
Каковы лучшие практики для чего-то подобного?
Настройте коммутатор так, чтобы он был недоступен из общедоступной сети, а в идеале - через определенное подключение к локальной сети управления.
Затем подключитесь с помощью VPN - настройте его на использование проверки подлинности сертификата в дополнение к вашему входу в систему.
Если вы абсолютно не можете этого сделать, настройте брандмауэр между этим коммутатором и Интернетом так, чтобы он принимал управляющие соединения только с вашего IP-адреса. Это не идеальная безопасность, но ограничивает видимость экрана входа в систему, что повышает безопасность.