Tenho visto muitas perguntas sobre a comparação geral de segurança para túneis SSH e VPNs.
Estou pensando em uma solução para gerenciar minha rede doméstica remotamente. Sou técnico o suficiente para atingir o mesmo objetivo (embora com diferentes níveis de esforço) com qualquer uma das soluções. Minha pergunta é se existe alguma diferença inerente no nível de segurança oferecido simplesmente pela porta que escuta qualquer conexão.
Ou seja, eu sei que os invasores estão sempre por aí verificando as portas, então será mais difícil determinar o que está escutando na porta para que um invasor tenha a menor quantidade de informações para criar um ataque?
Podemos assumir que o servidor é interno à rede e terei que encaminhar alguma porta através do roteador de borda. Em ambos os casos, posso usar alguma porta aleatória e não padrão para encaminhar.
Responder1
Uma série de considerações:
Sim, um servidor SSH exposto à Internet estará sujeito a ataques incessantes e de força bruta em grande escala. No mínimo você precisa de alguma defesa como Fail2ban ou CSF-LFD. Isso banirá rapidamente endereços IP ofensivos no nível do firewall.
Sem essa proteção, e mesmo que você tenha uma senha forte, seu servidor terá que se defender dos ataques, gerando carga desnecessária e desperdício de largura de banda. Pense em centenas, talvez milhares de ataques simultâneos.
Você pode usar uma porta não padrão para o servidor SSH, você ainda receberá testes, mas menos deles.
Talvez uma solução melhor seja configurarbatida na porta. O truque é deixar a porta aberta apenas para quem conhece a combinação certa.
Se a sua rede doméstica tiver um endereço IP WAN estático, você poderá restringir o servidor SSH a endereços predeterminados,hosts na lista de permissões.
Outra técnica se você tiver um endereço IP estático/estável é fazerSSH reverso: em vez de conectar-se ao servidor, deixe o servidor chamar 'home'. Use autosshpara que a conexão seja restaurada automaticamente entre reinicializações ou interrupções de rede.
No entanto, parece-me que uma VPN é uma alternativa melhor. OpenVPN pode ser executado em UDP, TCP ou ambos. Acredito que o UDP é o padrão e o UDP é mais difícil de verificar (veja o manual do nmap sobre varredura UDP) e a maioria dos ataques concentra-se em serviços TCP.
O que não significa que o UDP não possa ser um perigo: basta pensar nos ataques de reflexão DNS ou NTP.
Aqui está, agora você pode combinar várias técnicas, por exemplo OpenVPN com porta knocking e você tem uma configuração bastante furtiva. Se você não quer o incômodo de instalar uma VPN e prefere manter o SSH já instalado, as mesmas etapas podem ser usadas para proteger seu servidor.