искривление пространства в реальном времени
хостинг-сервисы и прочие технические лица в схожем положении в
массовом порядке переводят ssh-порт куда-нибудь повыше (или на 443).
а разгадка одна — корпоративные брандмауэры. и всё было бы понятно,
но многие при этом ещё и закрывают 22-ой порт. для простоты, видимо.
ещё видел у кого-то рассуждение о том, что интернет изрядно изгавнился
(по сравнению с радужными видениями его будущего в дыму трубки
рассуждающего) из-за повсеместного распространения NAT.
а идеалистам вообще трудно жить, даже таким электрическим.
От стандартных портов вообще один беспорядок. Смог запомнить и ввести ip address — сможешь и порт.
(http://livejournal.com/users/birdwatcher)
ну да, логично: следующий шаг в укреплении Безопасности — отмена DNS.
(http://livejournal.com/users/cmm)
1) хех, я купил vds-хостинг строго потому, что там можно засунуть ssh-порт куда захочешь, в особенности на 443 порт :)
2) NAT — он не от хорошей жизни :-\ Вот будет широко развернут IPv6, посмотрим, много ли NAT-а останется.
(http://livejournal.com/users/9000)
Кстати, про стандартные порты была отличная штука, port knocking. Brute force заметно ослабляет :)
А то забавно следить, с каким упорством ко мне ломятся по ssh с подбором паролей.
(http://livejournal.com/users/9000)
Утверждают, что не останется вообще. Учитывая fingerprinting, мне в это слабо верится.
(http://livejournal.com/users/dimrub)
Когда кабельный провайдер даёт на кабель 1 IP, а за другие хочет денег, тут-то дома и заводится NAT %))
А при чём fingerprinting? Тут, кажется, вопрос в грамотно настроенном firewall-е, а не в реальном IP?
(http://livejournal.com/users/9000)
No govorjat chto iz-za NAT wnedrenie IPv6 i zastrjalo.
Tak chto eshe kto kogo sborit !
(http://livejournal.com/users/dmpogo)
именно об это и речь, да.
(http://livejournal.com/users/cmm)
Действительно, занятно.
(http://livejournal.com/users/birdwatcher)
Недостаток IPs - не единственная причина существования private networks (например, еще одна - возможность производить в массовом порядке идентичные системы, состоящие из большого количество девайсов). Что же касается фингерпринтинга - информация о физических адресах, которую любезно предоставляет IPv6, а так же о количестве различных IP внутри одного Network Prefix-a, представялет некоторый интерес для заинтересованных сторон - и anonymous IPs решают эту проблему лишь частично.
(http://livejournal.com/users/dimrub)
wnedrenie IPv6 i zastrjalo
Застряло? Хм…
(http://livejournal.com/users/dimrub)
это конечно.
но в сегодняшнем мире приватные сети заводятся по нескольким разным, не связанным друг с другом и неотличимым друг от друга по внешним проявлениям причинам. что неизбежно способствует искривлению пространства.
(http://livejournal.com/users/cmm)
Вот тут неплохая штука описана:
http://www.teaparty.net/technotes/ssh-rate-limiting.html
(http://livejournal.com/users/stas)
> а разгадка одна — корпоративные брандмауэры
Сейчас количество подбирающих пароли к ssh ботов настолько велико, а долбят они настолько активно, что открытый ssh на 22 порту часто досится до полной неработоспособности, а auth-лог забивается на мегабайты. Остаётся или перевешивать на верхний порт, или trusted hosts.
(http://livejournal.com/users/igors)
ну, есть и такое дело, конечно.
но вот наш брандмауэр, к примеру, не даёт делать ssh наружу. думаю, мы не одни такие странненькие.
(http://livejournal.com/users/cmm)
Никто не говорит, что надо отказаться от “внутренних” адресов — там, где они нужны. Но обычно там, где сеть на таких адресах делается не от недостатка “внешних” IP, и NAT не применяется, а, наоборот, стоит пара периметров безопасности и прокси на строго разрешённые порты (см. исходный пост).
Если будет сильно надо, думаю, маршрутизаторы научатся отвечать “вся сеть за префиксом заполнена до отказа” на запросы из сетей вне “белого списка” (или вообще все вопросы извне).
(http://livejournal.com/users/9000)
ещё приятный вариант, кстати: просто отменить нафик password-based identification.
хранить публичные ключи всех кого надо, и привет.
(http://livejournal.com/users/cmm)