Das Internet ist ein wilder und unheimlicher Ort voller Unzufriedener, deren Motive von Neugier bis hin zu kriminellen Unternehmungen reichen. Diese Unappetitlichen suchen ständig nach Computern, auf denen Dienste ausgeführt werden, die sie auszunutzen hoffen; normalerweise die gebräuchlicheren Dienste wie SSH, HTTP, FTP usw. Die Scans fallen normalerweise in eine von zwei Kategorien:
- Recon-Scans, um zu sehen, welche IP-Adressen diese Dienste geöffnet haben.
- Exploit-Scans gegen IP-Adressen, von denen festgestellt wurde, dass sie einen bestimmten Dienst ausführen.
Wenn man bedenkt, wie groß das Internet ist, ist es normalerweise unmöglich, jeden Port jeder IP-Adresse zu durchsuchen, um herauszufinden, was überall zuhört. Dies ist der Kernpunkt des Ratschlags, Ihren Standardport zu ändern. Wenn diese unzufriedenen Personen SSH-Server finden möchten, werden sie damit beginnen, jede IP-Adresse auf Port 22 zu untersuchen (sie können auch einige gängige Alternativen wie 222 oder 2222 hinzufügen). Sobald sie ihre Liste mit IP-Adressen mit geöffnetem Port 22 haben, starten sie ihre Passwort-Brute-Force-Methode, um Benutzernamen/Passwörter zu erraten, oder starten ihr Exploit-Kit ihrer Wahl und beginnen mit dem Testen bekannter (zumindest ihnen) Schwachstellen auf dem Zielsystem.
Das bedeutet, dass, wenn Sie Ihren SSH-Port auf 34887 ändern, dieser Sweep Sie weiterleitet, was wahrscheinlich dazu führt, dass Sie nicht zum Ziel des Folgeeinbruchs werden.
Sieht rosig aus, oder? Es gibt jedoch einige Nachteile.
- Client-Support:Jeder, der sich mit Ihrem Server verbindet, muss den geänderten Port kennen und verwenden. Wenn Sie sich in einer stark verwalteten Umgebung befinden, kann diese Konfiguration auf die Clients übertragen werden, oder wenn Sie nur wenige Benutzer haben, sollte die Kommunikation einfach sein.
- Ausnahmen in der Dokumentation:Die meisten Netzwerkgeräte, wie Firewalls und IDSes, sind so voreingestellt, dass gemeinsame Dienste auf gemeinsamen Ports ausgeführt werden. Alle Firewall-Regeln, die sich auf diesen Dienst auf diesem Gerät beziehen, müssen überprüft und möglicherweise geändert werden. In ähnlicher Weise werden IDS-Signaturen so angepasst, dass sie nur eine SSH-Inspektion auf Port 22 durchführen. Sie müssen jede Signatur jedes Mal, wenn sie aktualisiert wird, mit Ihrem neuen Port ändern. (Als Datenpunkt gibt es derzeit 136 VRT- und ET-Snort-Signaturen mit SSH).
- Systemschutz:Moderne Linuxe werden oft mit Kernel-Layer-MAC- und/oder RBAC-Systemen (z. B. SELinux auf RedHat-Basis oder AppAmor auf Debian-Basis) ausgeliefert, die so konzipiert sind, dass Anwendungen nur genau das tun, was sie tun sollen . Das kann vom Zugriff auf
/etc/hosts
reichen Datei, zum Schreiben in eine bestimmte Datei oder zum Senden eines Pakets über das Netzwerk. Je nachdem, wie dieses System konfiguriert ist, kann es standardmäßigsshd
verbieten von der Bindung an einen Nicht-Standard-Port. Sie müssten eine lokale Richtlinie pflegen, die dies zulässt. - Überwachung durch Dritte:Wenn Sie eine externe Abteilung für Informationssicherheit haben oder die Überwachung auslagern, muss diese auf die Änderung aufmerksam gemacht werden. Wenn ich bei der Durchführung einer Sicherheitsbewertung oder der Analyse von Protokollen nach Sicherheitsbedrohungen einen SSH-Server sehe, der auf einem Nicht-Standard-Port läuft (oder einen SSH-Server auf einem Nicht-UNIX/Linux, was das betrifft), behandle ich ihn als potenzielle Hintertür und Aufrufen des kompromittierten Systemteils des Vorgangs zur Behandlung von Vorfällen. Manchmal wird es innerhalb von 5 Minuten behoben, nachdem ich den Administrator angerufen habe und ihm gesagt wurde, dass es legitim ist. An diesem Punkt aktualisiere ich die Dokumentation, manchmal ist es wirklich eine Schlechtigkeit, die behoben wird. In jedem Fall kann dies zu Ausfallzeiten für Sie oder zumindest zu einem nervenaufreibenden Anruf führen, wenn Sie ans Telefon gehen und hören:„Hallo, hier ist Bob vom Büro für Informationssicherheit. Ich habe ein paar Fragen an Sie ."
Bevor Sie Ihren Port ändern, müssen Sie all dies berücksichtigen, damit Sie wissen, dass Sie die beste Entscheidung treffen. Einige dieser Nachteile gelten möglicherweise nicht, andere jedoch sicherlich. Überlegen Sie auch, wovor Sie sich schützen wollen. Oftmals ist es einfach einfacher, Ihre Firewall so zu konfigurieren, dass nur der Zugriff auf 22 von bestimmten Hosts zugelassen wird, im Gegensatz zum gesamten Internet.
Ja, das kann es sein, nicht durch Erhöhen der Sicherheit, aber Sie können die Anzahl der fehlgeschlagenen Anmeldeversuche auf Ihrem Server reduzieren. Ich ändere immer meine Standard-SSH, um die Warnungen zu reduzieren, die ich von ossec erhalte. Auch wenn Sie einen wirklich zufälligen Port verwenden und jemand immer noch versucht, auf Ihren Computer zuzugreifen, ist die Wahrscheinlichkeit höher, dass es sich eher um einen gezielten Angriff als um einen zufälligen Scanner handelt.
Wie andere sagten, wird es unwahrscheinlicher, dass SSH von einem zufälligen Scan getroffen wird, wenn Sie SSH auf einen anderen Port als 22 setzen. Sie werden ins Visier genommen, wenn der Angreifer versucht, an Ihre zu gelangen Server, nicht irgendein Server.
Ich habe einen Server mit ssh
an einen zufälligen hohen Port gebunden. Und ich habe einen ssh-Honeypot auf Port 22, der auf jeden Anmeldeversuch mit einer „Zugriff verweigert“-Nachricht antwortet.
Ich glaube nicht, dass es eine Verteidigung durch Obskurität ist , aber tiefe Verteidigung :Um meinen Server anzugreifen, muss der Angreifer zuerst den Port finden. Wenn ich ein paar gefälschte Honeypots habe (viele Ports, die auf denselben Honeypot umleiten), trifft der Angreifer viele Fälschungen und hat keine Möglichkeit zu wissen, ob er den echten ssh getroffen hat oder nicht.
Es ist jedoch nur die Verteidigung. Ich habe portsentry
aktiv, wenn also jemand einen Portscan versucht, wird er für eine Stunde blockiert. Wenn sie das Passwort auf der richtigen ssh brutal erzwingen, erhalten sie eine Stunde lang „Zugriff verweigert“. Wenn sie das Passwort erfolgreich erraten, wird ihnen eine PAM-Eingabeaufforderung angezeigt, in der sie nach dem Google Auth-Token gefragt werden.
Die Kosten für die Änderung des Ports sind sehr gering, und ich denke, die Nachteile sind durch die Vorteile gerechtfertigt.