De estas cosas que descubres por casualidad, mirando otra cosa que no tiene nada que ver. Resulta que uno de nuestros firewalls mostraba un buen numero de «failed logins» por el puerto de consola, que esta conectado a un WTI.
Si que es cierto que, llevaba tiempo viendo algunos logins raros en nuestro ISE que venian de los WTI, tenia pendiente mirarlo
En el audit log del WTI se ve algo como esto:
02/21/24 19:31:32 login: LOGIN Invalid Pswd Port 01: d1.
02/21/24 19:31:32 LOGIN Invalid Pswd Port 01: d1
02/21/24 19:31:32 d1 login: LOGIN Invalid Pswd Port 01: d1
02/21/24 19:31:29 (none) LOGIN Invalid User Port 01: d1
02/21/24 19:31:29 01 login: LOGIN Invalid Pswd Port 01: d1
02/21/24 19:31:29 (none) LOGIN Invalid User Port 01: d1
02/21/24 19:31:23 login: LOGIN Invalid Pswd Port 01: d1
02/21/24 19:31:23 d1 login: LOGIN Invalid Pswd Port 01: d1
02/21/24 19:31:23 (none) LOGIN Invalid User Port 01: d1
02/21/24 19:31:20 Login incorrect LOGIN Invalid Pswd Port 01: d1
02/21/24 19:31:17 : Log LOGIN Invalid Pswd Port 01: d1
Y resulta que, el puerto 1 de esos cacharros estan configurados de forma diferente.
«Port 1 is normally reserved as a setup port however in some instances it may become necessary to change the port mode. For example having a switch or a router connected to port 1 maybe triggering the invalid access lockout or filling up your Audit logs with garbage.» -> jajaja Maybe dice …
https://www.wti.com/blogs/knowledge-base/port-1-override
Para solucionarlo … hay que activar el mode override en ese puerto, cosa que no soy capaz de hacer, asi que a las bravas (no tengo tiempo de mirar estas cosas), que me lo pinchen en otro sitio y listo.
Cosas curiosas que se descubren por casualidad, y que te quitan unos cuantos miles de entradas en el log.