Hlavní navigace

Názor k článku Postřehy z bezpečnosti: matení cenzora od Petr M - Nebude. Pokud je to router zákazníka a zákazník nemá...

  • 14. 9. 2020 17:09

    Petr M

    Nebude.

    Pokud je to router zákazníka a zákazník nemá domluveno, že se o to ISP bude starat, není důvod strkat jakýkoliv rozhraní pro administraci na WAN.

    Pokud je to krabička ISPíka - profíka, bude používat nástroje pro správu, třeba Ansible a ne webový klikátka. Není problém si nakonfigurovat SSH na nějakým neobvyklým portu (ideálně. ještě nějaké VLANě pro správu - třeba na rozhraní eth1.123 a data na eth1), přihlášení jenom certifikátem s heslem a certifikát si tam nahrát při konfiguraci před předáním zákazníkovi, nebo při větší objednávce si rovnou koupit nakonfigurovaný stroje.

    Za webový administrační rozhraní, vystrčený na WAN, by se bez ohledu na heslo mělo kastrovat za pomoci dvou cihel.