私は通常、SSHトンネリングとVPNセキュリティについて多くの質問をしました。
ホームネットワークをリモートで管理するためのソリューションを検討しています。私は両方のソリューションで同じ目標を達成するのに十分熟練しています(努力レベルは異なりますが)。私の質問は、2つの接続のうちの1つをポートで受信することによって提供されるセキュリティレベルに本質的な違いがあるかどうかです。
つまり、攻撃者が常にポートを検索していることを知っているので、攻撃者が攻撃を開始するのに必要な最小限の情報を持つようにポートでリッスンしている項目を確認するのは難しいですか?
サーバーがネットワーク内にあり、エッジルーターを介して特定のポートを転送する必要があると想定できます。どちらの場合も、転送に任意の非標準ポートを使用できます。
答え1
いくつかの考慮事項:
はい、インターネットに公開されているSSHサーバーは、継続的な大規模な無差別代入攻撃を受けます。少なくともFail2banやCSF-LFDなどの防御が必要です。これにより、ファイアウォールレベルで問題となるIPアドレスがすばやくブロックされます。
このような保護がないと、強力なパスワードがあってもサーバーが攻撃を防ぐ必要があるため、不要な負荷と帯域幅の浪費が発生します。何百または何千もの同時攻撃を考えてみてください。
SSHサーバーには非標準ポートを使用できますが、まだプローブを受信できますが、その数は少なくなります。
おそらくより良い解決策は次のとおりです。ポートノック。秘訣は、正しい組み合わせを知っている人にのみポートを開いたままにすることです。
ホームネットワークに固定WAN IPアドレスがある場合は、SSHサーバーを所定のサーバーに制限できます。ホワイトリストホスト。
固定/安定したIPアドレスがある場合、他の方法は次のとおりです。リバースSSH:サーバーに接続せずにサーバーに「home」を呼び出すようにします。autossh
再起動またはネットワークハングの間の接続を自動的に復元するために使用されます。
しかし、私の考えでは、VPNはより良い選択です。 OpenVPNはUDP、TCP、またはその両方で実行できます。私はUDPがデフォルトだと思います。 UDPはスキャンするのが難しいです(UDPスキャンについてはnmapのマニュアルを参照してください。)、ほとんどの攻撃はTCPサービスに焦点を当てています。
これはUDPが危険ではないという意味ではありません。ちょうどDNSまたはNTP反射攻撃を検討してください。
これで、OpenVPNとポートバンピングなどのさまざまなテクノロジを組み合わせることができ、非常に秘密の設定が可能になります。 VPNをインストールする手間をかけずにSSHがすでにインストールされていることを確認したい場合は、同じ手順を使用してサーバーを保護できます。