저는 일반적으로 SSH 터널링과 VPN 보안에 관해 많은 질문을 보았습니다.
홈 네트워크를 원격으로 관리하기 위한 솔루션을 고려 중입니다. 나는 두 솔루션 모두에서 동일한 목표를 달성할 수 있을 만큼 충분히 숙련되어 있습니다(노력 수준은 다르지만). 내 질문은 두 연결 중 하나를 포트에서 수신함으로써 제공되는 보안 수준에 본질적인 차이가 있는지 여부입니다.
즉, 공격자가 항상 포트를 검색하고 있다는 것을 알고 있으므로 공격자가 공격을 시작하는 데 필요한 최소한의 정보를 갖도록 포트에서 수신 대기 중인 항목을 확인하는 것이 더 어렵습니까?
서버가 네트워크 내부에 있고 에지 라우터를 통해 특정 포트를 전달해야 한다고 가정할 수 있습니다. 두 경우 모두 전달을 위해 임의의 비표준 포트를 사용할 수 있습니다.
답변1
몇 가지 고려 사항:
예, 인터넷에 노출된 SSH 서버는 지속적인 대규모 무차별 대입 공격을 받게 됩니다. 최소한 Fail2ban 또는 CSF-LFD와 같은 방어가 필요합니다. 이렇게 하면 방화벽 수준에서 문제가 되는 IP 주소가 신속하게 차단됩니다.
이러한 보호 기능이 없으면 강력한 비밀번호가 있어도 서버가 공격을 막아야 하므로 불필요한 로드와 대역폭 낭비가 발생합니다. 수백 또는 수천 건의 동시 공격을 생각해 보십시오.
SSH 서버에 비표준 포트를 사용할 수 있으며 여전히 프로브를 받을 수 있지만 그 수는 더 적습니다.
아마도 더 나은 해결책은 다음과 같습니다.포트 노크. 비결은 올바른 조합을 아는 사람에게만 포트를 열어 두는 것입니다.
홈 네트워크에 고정 WAN IP 주소가 있는 경우 SSH 서버를 미리 결정된 서버로 제한할 수 있습니다.화이트리스트 호스트.
고정/안정 IP 주소가 있는 경우 다른 방법은 다음과 같습니다.역방향 SSH: 서버에 연결하지 않고 서버가 "home"을 호출하도록 합니다. autossh재부팅 또는 네트워크 중단 사이의 연결을 자동으로 복원하는 데 사용됩니다 .
하지만 제 생각에는 VPN이 더 나은 선택입니다. OpenVPN은 UDP나 TCP 또는 둘 다에서 실행될 수 있습니다. 저는 UDP가 기본값이라고 생각합니다. UDP는 스캔하기가 더 어렵습니다(UDP 스캐닝에 대해서는 nmap 매뉴얼을 참조하세요.), 대부분의 공격은 TCP 서비스에 중점을 둡니다.
이는 UDP가 위험하지 않다는 의미는 아닙니다. 단지 DNS 또는 NTP 반사 공격을 고려하십시오.
이제 OpenVPN과 포트 범핑과 같은 여러 기술을 결합할 수 있으며 매우 은밀한 설정이 가능합니다. VPN을 설치하는 번거로움을 원하지 않고 SSH가 이미 설치된 상태를 유지하고 싶다면 동일한 단계를 사용하여 서버를 보호할 수 있습니다.