> Застращали вы меня взломом роутера :)
> Отсюда возникала некая идея - использовать некий маячок, индикатор, и возможно, уже
> есть такой готовый?Обычно такая задача решается мониторингом. Маячок появляется на экране (дашборде) у операторов NOC, и/или высылается кому надо в форме алерта.
> Пользовался тогда Мандривой 2008, и в ней запомнилась такая классная фича:
> - если кто-то извне пытался проникнуть в комп, в трее сразу всплывало
> предупреждающее окошко с указанием IP хакера и портов, которые он подбирает.
Звучит симпатитчно, но не практично. Ну, показали нам значёк, что теперь, всё бросать и бежать переписывать IP и порты в правила файерволла?
> Да, конечно,попытки взлома можно посмотреть в логах, но это происходит не в
> риалтайме - месяц назад тихо взломали, а сегодня только обнаружил.
> Нужна мгновенная реакция.
Наилучшее приближение к мнгновенной реакции будет у автоматизированной системы. В которой, в общем случае, необходимо описать критериии "на что реагировать" и конкретно "как реагировать".
И, да, держать эту автоматизированную систему на поддержке, что не халявно.
Если отмасштабировать решение "вниз", то я бы рекомендовал настроить на роутере какой-нибудь механизм типа fail2ban, чтоб он заносил брутфорсеров в чёрный список сам, после малого количества попыток. И чем-нибудь следить, чтобы не заблокировать кого-то нужного по ошибке. Например, у меня UptimeRobot периодически выбивается из ожидаемого паттерна и ловит бан.
Кроме того, можно слать логи по syslog на что-нибудь помощнее на обработку, если обнаружили что-то нехорошее, то генерировать алерт администратору. Когда тот придёт/проснётся, посмотрит сразу в нужное место. Для масштаба home-office должно быть уже приемлемо.
