He visto muchas preguntas sobre la comparación general de la seguridad de los túneles SSH versus las VPN.
Estoy pensando en una solución para gestionar mi red doméstica de forma remota. Soy lo suficientemente técnico como para poder lograr el mismo objetivo (aunque con diferentes niveles de esfuerzo) con cualquiera de las soluciones. Mi pregunta es si existe alguna diferencia inherente en el nivel de seguridad que ofrece simplemente el puerto que escucha cualquiera de las conexiones.
Es decir, sé que los atacantes siempre están escaneando puertos, entonces, ¿se hace más difícil determinar qué está escuchando en el puerto para que un atacante tenga la menor cantidad de información para diseñar un ataque?
Podemos asumir que el servidor es interno a la red y tendré que reenviar algún puerto a través del enrutador perimetral. En cualquier caso, puedo utilizar algún puerto aleatorio y no estándar para reenviar.
Respuesta1
Una serie de consideraciones:
Sí, un servidor SSH expuesto a Internet estará sujeto a incesantes ataques de fuerza bruta a gran escala. Como mínimo necesitas algo de defensa como Fail2ban o CSF-LFD. Esto prohibirá rápidamente las direcciones IP ofensivas a nivel del firewall.
Sin esta protección, e incluso si tiene una contraseña segura, su servidor tendrá que defenderse de los ataques, creando una carga innecesaria y un desperdicio de ancho de banda. Piense en cientos, tal vez miles de ataques simultáneos.
Puede utilizar un puerto no estándar para el servidor SSH; seguirá recibiendo sondas, pero en menor cantidad.
Quizás una mejor solución sea configurargolpe de puerto. El truco consiste en hacer que el puerto esté abierto sólo para aquellos que conocen la combinación correcta.
Si su red doméstica tiene una dirección IP WAN estática, entonces puede restringir el servidor SSH a una dirección predeterminada,hosts incluidos en la lista blanca.
Otra técnica si tienes una dirección IP estática/estable es hacerSSH inverso: en lugar de conectarse al servidor, deje que el servidor llame a "casa". Úselo autosshpara que la conexión se restablezca automáticamente entre reinicios o cortes de red.
Sin embargo me parece que una VPN es una mejor alternativa. OpenVPN puede ejecutarse en UDP, TCP o ambos. Creo que UDP es el valor predeterminado y UDP es más difícil de escanear (consulte el manual de nmap sobre el escaneo UDP), y la mayoría de los ataques se centran en servicios TCP.
Lo que no significa que UDP no pueda ser un peligro: basta pensar en los ataques de reflexión DNS o NTP.
Aquí lo tienes, ahora puedes combinar varias técnicas, por ejemplo OpenVPN con port knocking y tienes una configuración bastante sigilosa. Si no quiere la molestia de instalar una VPN y prefiere seguir con el SSH ya instalado, puede seguir los mismos pasos para proteger su servidor.