SSH 터널과 VPN의 일반적인 보안 비교에 관한 많은 질문을 보았습니다.
홈 네트워크를 원격으로 관리하는 솔루션을 생각하고 있습니다. 나는 어느 솔루션을 사용해도 (노력 수준은 다르지만) 동일한 목표를 달성할 수 있을 만큼 기술적입니다. 내 질문은 단순히 두 연결을 수신하는 포트가 제공하는 보안 수준에 본질적인 차이가 있는지 여부입니다.
즉, 공격자가 항상 포트를 검색하고 있다는 것을 알고 있으므로 공격자가 공격을 수행하는 데 필요한 최소한의 정보를 갖도록 포트에서 수신 대기 중인 항목을 확인하기 더 어렵게 만들 수 있습니까?
서버가 네트워크 내부에 있고 에지 라우터를 통해 일부 포트를 전달해야 한다고 가정할 수 있습니다. 두 경우 모두 전달을 위해 임의의 비표준 포트를 사용할 수 있습니다.
답변1
여러 가지 고려 사항:
예, 인터넷에 노출된 SSH 서버는 끊임없는 대규모 무차별 대입 공격을 받을 수 있습니다. 최소한 Fail2ban 또는 CSF-LFD와 같은 방어가 필요합니다. 이렇게 하면 방화벽 수준에서 문제가 되는 IP 주소가 신속하게 차단됩니다.
이러한 보호 기능이 없으면 강력한 비밀번호가 있더라도 서버는 공격을 방어해야 하므로 불필요한 로드와 대역폭 낭비가 발생합니다. 수백, 어쩌면 수천 건의 동시 공격을 생각해 보십시오.
SSH 서버에 비표준 포트를 사용할 수 있지만 여전히 프로브를 얻을 수 있지만 그 수는 더 적습니다.
아마도 더 나은 해결책은 다음을 설정하는 것입니다.항구 노크. 비결은 올바른 조합을 아는 사람에게만 포트를 개방하는 것입니다.
홈 네트워크에 고정 WAN IP 주소가 있는 경우 SSH 서버를 미리 결정된 것으로 제한할 수 있습니다.허용된 호스트.
고정/안정 IP 주소가 있는 경우 또 다른 기술은 다음과 같습니다.역방향 SSH: 서버에 연결하는 대신 서버가 'home'을 호출하도록 합니다. autossh재부팅이나 네트워크 중단 사이에 연결이 자동으로 복원되도록 사용합니다 .
그러나 제 생각에는 VPN이 더 나은 대안인 것 같습니다. OpenVPN은 UDP, TCP 또는 둘 다에서 실행될 수 있습니다. 저는 UDP가 기본값이라고 생각하며 UDP는 스캔하기가 더 어렵습니다(UDP 스캐닝에 관한 nmap 매뉴얼을 참조하세요.), 대부분의 공격은 TCP 서비스에 중점을 둡니다.
그렇다고 UDP가 위험할 수 없다는 뜻은 아닙니다. DNS나 NTP 반사 공격을 생각해 보세요.
여기 있습니다. 이제 OpenVPN과 포트 노킹 등 여러 기술을 결합할 수 있으며 매우 은밀한 설정을 갖게 되었습니다. VPN을 설치하는 번거로움을 원하지 않고 이미 설치된 SSH를 계속 사용하려는 경우 동일한 단계를 사용하여 서버를 보호할 수 있습니다.