SSH トンネルと VPN のセキュリティの一般的な比較に関する質問を多く見かけます。
私は自宅のネットワークをリモートで管理するソリューションを考えています。私は技術に詳しいので、どちらのソリューションでも同じ目標を達成できます (ただし、労力のレベルは異なります)。私の質問は、どちらかの接続をリッスンするポートによって提供されるセキュリティ レベルに本質的な違いがあるかどうかです。
つまり、攻撃者は常にポートをスキャンしていることはわかっているので、攻撃者が攻撃を仕掛けるために必要な情報を最小限に抑えるために、ポートで何がリッスンしているかを判断することをより困難にする必要があるのでしょうか?
サーバーはネットワークの内部にあると想定でき、エッジ ルーターを介していくつかのポートを転送する必要があります。いずれの場合も、転送にはランダムな非標準ポートを使用できます。
答え1
考慮すべき点がいくつかあります。
はい、インターネットに公開されている SSH サーバーは、絶え間なく大規模なブルート フォース攻撃を受けることになります。少なくとも、Fail2ban や CSF-LFD などの防御策が必要です。これにより、問題のある IP アドレスがファイアウォール レベルですぐに禁止されます。
この保護がなければ、たとえ強力なパスワードを使用していたとしても、サーバーは攻撃を防御しなければならず、不要な負荷と帯域幅の無駄が生じます。数百、場合によっては数千の同時攻撃が発生すると考えてください。
SSH サーバーに非標準ポートを使用することもできますが、プローブは取得されますが、その数は少なくなります。
おそらくより良い解決策は、ポートノッキング秘訣は、正しい組み合わせを知っている人だけにポートを開くことです。
自宅のネットワークに静的WAN IPアドレスがある場合は、SSHサーバーを事前に決められたものに制限することができます。ホワイトリストに登録されたホスト。
静的/安定したIPアドレスを持っている場合のもう1つの方法は、リバースSSH: サーバーに接続する代わりに、サーバーが「ホーム」を呼び出すようにします。autossh再起動またはネットワークの停止の間に接続が自動的に復元されるように使用します。
しかし、私にはVPNの方が良い選択肢のように思えます。OpenVPNはUDP、TCP、またはその両方で実行できます。UDPがデフォルトであり、UDPはスキャンするのがより困難だと思います(UDPスキャンについてはnmapマニュアルを参照してください。)、ほとんどの攻撃は TCP サービスに焦点を当てています。
これは、UDP が危険ではないという意味ではありません。DNS または NTP リフレクション攻撃について考えてみましょう。
これで、OpenVPN とポートノッキングなどの複数のテクニックを組み合わせることができ、非常にステルス性の高いセットアップが実現します。VPN をインストールする手間を省き、すでにインストールされている SSH を使い続ける場合は、同じ手順を使用してサーバーを保護できます。