Door Anoniem: Door Anoniem: Door Anoniem: Tip: toen wij F5 hadden hebben we de beheer interface ook aan het Internet gehangen, maar wel achter HTTPS met Client-certificate authentication. Dit soort management interfaces moeten nooit internet facing zijn [PUNT] In sommige situaties is dit een core netwerk onderdeel dat in een verweg-datacenter staat, toch lastig om niet iets te organiseren dat remote bereikbaar is. Uiteindelijk moet je iets -- want een separaat darkfiber management netwerk hebben er niet veel. Er is wel een verschil tussen 'management bereikbaar over Internet' en 'management bereikbaar voor een handvol internet adressen' . Hoe complexer het protocol, des te groter de kans op bugs. Een simpel packetfilter kan weinig mee misgaan, en beperkt de exposure van je complexe protocol - en de race met zero-day exploiters van "de hele wereld" naar een heel veel beperkte set van adressen. Client certificaten voegen wat toe tegen password guessers, maar helemaal niets tegen bugs in de implementatie ...