Ich habe viele Fragen zum allgemeinen Sicherheitsvergleich von SSH-Tunneln und VPNs gesehen.
Ich denke über eine Lösung nach, mit der ich mein Heimnetzwerk aus der Ferne verwalten kann. Ich bin technisch so versiert, dass ich mit beiden Lösungen dasselbe Ziel erreichen kann (wenn auch mit unterschiedlichem Aufwand). Meine Frage ist, ob es einen inhärenten Unterschied in der Sicherheitsstufe gibt, die einfach dadurch geboten wird, dass der Port auf die eine oder andere Verbindung lauscht.
Das heißt, ich weiß, dass Angreifer ständig Ports scannen. Kann man es also schwieriger machen, herauszufinden, was auf dem Port lauscht, damit einem Angreifer für einen Angriff möglichst wenig Informationen zur Verfügung stehen?
Wir können davon ausgehen, dass der Server intern im Netzwerk ist und ich einen Port über den Edge-Router weiterleiten muss. In beiden Fällen kann ich zum Weiterleiten einen beliebigen, nicht standardmäßigen Port verwenden.
Antwort1
Einige Überlegungen:
Ja, ein SSH-Server, der dem Internet ausgesetzt ist, wird ständigen, groß angelegten Brute-Force-Angriffen ausgesetzt sein. Sie benötigen zumindest eine Abwehrmaßnahme wie Fail2ban oder CSF-LFD. Dadurch werden anstößige IP-Adressen schnell auf Firewall-Ebene gesperrt.
Ohne diesen Schutz und selbst wenn Sie ein sicheres Passwort haben, muss Ihr Server die Angriffe abwehren, was zu unnötiger Belastung und Bandbreitenverschwendung führt. Denken Sie an Hunderte, vielleicht Tausende gleichzeitiger Angriffe.
Sie können einen nicht standardmäßigen Port für den SSH-Server verwenden. Sie erhalten trotzdem Tests, jedoch weniger.
Eine bessere Lösung wäre vielleicht die EinrichtungHafen klopfenDer Trick besteht darin, den Port nur für diejenigen zu öffnen, die die richtige Kombination kennen.
Wenn Ihr Heimnetzwerk eine statische WAN-IP-Adresse hat, können Sie den SSH-Server auf vorgegebene,Whitelist-Hosts.
Eine weitere Technik, wenn Sie eine statische/stabile IP-Adresse haben, istReverse-SSH: Anstatt eine Verbindung zum Server herzustellen, lassen Sie den Server „Home“ anrufen. Verwenden Sie diese Option, autosshdamit die Verbindung zwischen Neustarts oder Netzwerkausfällen automatisch wiederhergestellt wird.
Allerdings scheint mir ein VPN eine bessere Alternative zu sein. OpenVPN kann in UDP, TCP oder beiden laufen. Ich glaube, UDP ist die Standardeinstellung und UDP ist schwieriger zu scannen (siehe nmap-Handbuch bezüglich UDP-Scanning) und die meisten Angriffe konzentrieren sich auf TCP-Dienste.
Das heißt jedoch nicht, dass UDP keine Gefahr darstellen kann. Denken Sie beispielsweise an DNS- oder NTP-Reflection-Angriffe.
Hier sind Sie, jetzt können Sie mehrere Techniken kombinieren, zum Beispiel OpenVPN mit Port-Knocking, und schon haben Sie ein Setup, das ziemlich unauffällig ist. Wenn Sie sich die Mühe ersparen möchten, ein VPN zu installieren, und lieber beim bereits installierten SSH bleiben möchten, können Sie dieselben Schritte verwenden, um Ihren Server zu schützen.