Internet è un luogo selvaggio e spaventoso, pieno di malcontenti le cui motivazioni vanno dalla curiosità fino all'impresa criminale. Questi sgradevoli eseguono costantemente la ricerca di computer che eseguono servizi che sperano di sfruttare; di solito i servizi più comuni come SSH, HTTP, FTP, ecc. Le scansioni in genere rientrano in una delle seguenti due categorie:
- Riconferma la scansione per vedere quale indirizzo IP ha quei servizi aperti.
- Scansioni exploit contro gli indirizzi IP che sono stati trovati per eseguire un servizio specifico.
Considerando quanto è grande Internet, in genere non è possibile cercare su ogni porta di ogni indirizzo IP per trovare ciò che è in ascolto ovunque. Questo è il punto cruciale del consiglio di cambiare la porta predefinita. Se queste persone disamorate vogliono trovare server SSH, inizieranno a sondare ogni indirizzo IP sulla porta 22 (potrebbero anche aggiungere alcune alternative comuni come 222 o 2222). Quindi, una volta che hanno il loro elenco di indirizzi IP con la porta 22 aperta, avvieranno la forza bruta della loro password per indovinare nomi utente/password o lanceranno il loro kit di exploit preferito e inizieranno a testare le vulnerabilità note (almeno a loro) sul sistema di destinazione.
Ciò significa che se modifichi la tua porta SSH in 34887, lo sweep ti passerà oltre, probabilmente facendo in modo che tu non venga preso di mira dall'irruzione successiva.
Sembra roseo vero? Ci sono però alcuni svantaggi.
- Assistenza clienti:tutti coloro che si connettono al tuo server dovranno conoscere e utilizzare la porta modificata. Se ti trovi in un ambiente fortemente gestito, questa configurazione può essere trasferita ai client o, se hai un numero sufficiente di utenti, dovrebbe essere facile comunicare.
- Eccezioni alla documentazione:la maggior parte dei dispositivi di rete, come firewall e IDS, sono preconfigurati per l'esecuzione di servizi comuni su porte comuni. Eventuali regole del firewall relative a questo servizio su questo dispositivo dovranno essere ispezionate ed eventualmente modificate. Allo stesso modo, le firme IDS verranno ottimizzate in modo da eseguire solo l'ispezione SSH sulla porta 22. Dovrai modificare ogni firma, ogni volta che vengono aggiornate, con la tua nuova porta. (Come punto dati ci sono attualmente 136 firme snort VRT ed ET che coinvolgono SSH).
- Protezioni del sistema:i sistemi Linux moderni spesso vengono forniti con un MAC a livello kernel e/o sistemi RBAC (ad es. SELinux su base RedHat o AppAmor su base Debian) e sono progettati per consentire solo alle applicazioni di fare esattamente ciò per cui sono destinate . Ciò potrebbe variare dall'accesso a
/etc/hostsfile, alla scrittura su un file specifico o all'invio di un pacchetto sulla rete. A seconda di come è configurato questo sistema, potrebbe, per impostazione predefinita, vietaresshddall'associazione a una porta non standard. Dovresti mantenere una politica locale che lo consenta. - Monitoraggio di altre parti:se disponi di una divisione per la sicurezza delle informazioni esterna o esternalizzi il monitoraggio, sarà necessario informarla del cambiamento. Quando eseguo una valutazione della sicurezza o analizzo i log alla ricerca di minacce alla sicurezza, se vedo un server SSH in esecuzione su una porta non standard (o un server SSH su un sistema non UNIX/Linux per quella materia) lo considero una potenziale backdoor e richiamare la parte del sistema compromesso della procedura di gestione degli incidenti. A volte viene risolto in 5 minuti dopo aver chiamato l'amministratore e aver sentito che è legittimo, a quel punto aggiorno la documentazione, altre volte è davvero la cattiveria che viene risolta. In ogni caso, ciò può comportare tempi di inattività per te o, almeno, una chiamata snervante quando rispondi al telefono e senti:"Ciao, sono Bob dell'Ufficio per la sicurezza delle informazioni. Ho alcune domande per te ."
Prima di cambiare la tua porta devi tenere conto di tutto questo in modo da sapere che stai prendendo la decisione migliore. Alcuni di questi svantaggi potrebbero non essere applicabili, ma alcuni lo faranno sicuramente. Considera anche da cosa stai cercando di proteggerti. Spesso è semplicemente più semplice configurare il firewall in modo da consentire l'accesso solo a 22 host specifici, invece che all'intera Internet.
Sì, può essere, non aumentando la sicurezza ma puoi ridurre la quantità di tentativi di accesso falliti sul tuo server. Cambio sempre il mio ssh predefinito per ridurre gli avvertimenti che ricevo da ossec. Inoltre, se utilizzi una porta davvero casuale e qualcuno tenta ancora di accedere al tuo computer, è più probabile che si tratti di un attacco mirato piuttosto che di uno scanner casuale.
Come altri hanno detto, mettere SSH su una porta diversa da 22 renderà più improbabile essere colpiti da una scansione casuale. Sarai preso di mira se l'attaccante sta cercando di ottenere il tuo server, non qualsiasi server.
Ho un server con ssh legato a una porta alta casuale. E ho un honeypot ssh sulla porta 22, che risponderà a ogni tentativo di accesso con un messaggio di "accesso negato".
Non penso che sia una difesa dall'oscurità , ma difesa in profondità :per attaccare il mio server, l'attaccante deve prima trovare la porta. Se ho alcuni honeypot falsi (molte porte che reindirizzano allo stesso honeypot), l'attaccante colpirà molti falsi e non avrà modo di sapere se ha colpito il vero ssh o meno.
È solo la difesa, però. Ho portsentry anche attivo, quindi se qualcuno prova un portscan, verrà bloccato per un'ora. Se forzano la password sull'ssh giusto, riceveranno "accesso negato" per un'ora. Se riescono a indovinare la password, verrà loro presentato un prompt PAM che richiede il token Google Auth.
Il costo per cambiare la porta è molto basso e penso che gli svantaggi siano giustificati dai vantaggi.