我看過很多關於 SSH 隧道與 VPN 安全性一般比較的問題。
我正在考慮遠端管理家庭網路的解決方案。我的技術夠好,我可以使用任一解決方案來實現相同的目標(儘管付出的努力程度不同)。我的問題是,僅透過偵聽任一連接的連接埠提供的安全等級是否存在任何固有差異。
也就是說,我知道攻擊者總是在掃描端口,那麼確定端口上正在偵聽的內容是否會變得更加困難,以便攻擊者擁有最少的信息來發起攻擊?
我們可以假設伺服器位於網路內部,我必須透過邊緣路由器轉送某些連接埠。在任何一種情況下,我都可以使用一些隨機的非標準連接埠進行轉送。
答案1
一些考慮因素:
是的,暴露在網路上的 SSH 伺服器將會遭受持續不斷的大規模暴力攻擊。至少你需要一些防禦措施,例如 Fail2ban 或 CSF-LFD。這將在防火牆層級快速禁止違規 IP 位址。
如果沒有這種保護,即使您有一個強密碼,您的伺服器也將不得不抵禦攻擊,從而造成不必要的負載和頻寬浪費。想想數百甚至數千個同時攻擊。
您可以為 SSH 伺服器使用非標準端口,您仍然會收到探針,但數量較少。
也許更好的解決方案是設置端口敲門。訣竅是讓連接埠只對那些知道正確組合的人開放。
如果您的家庭網路有靜態 WAN IP 位址,那麼您可以將 SSH 伺服器限制為預定的、白名單主機。
如果您有靜態/穩定的 IP 位址,另一種方法是反向SSH:不連接到伺服器,而是讓伺服器呼叫「home」。使用autossh以便在重新啟動或網路中斷之間自動恢復連線。
但在我看來,VPN 是更好的選擇。 OpenVPN 可以在 UDP 或 TCP 或兩者中運作。我相信UDP是預設的,UDP更難掃描(有關 UDP 掃描,請參閱 nmap 手冊),大多數攻擊集中在 TCP 服務上。
這並不意味著 UDP 不會構成危險:只需考慮 DNS 或 NTP 反射攻擊。
現在,您可以結合多種技術,例如 OpenVPN 與連接埠碰撞,並且您擁有一個非常隱密的設定。如果您不想安裝 VPN 的麻煩,並且希望堅持使用已安裝的 SSH,則可以使用相同的步驟來保護您的伺服器。