¿Cambiar el puerto predeterminado de SSHD es una buena práctica?

Pienso que si.
Pero este es un tema en el que sé que difiero de (lo que creo que es) la mayoría de la comunidad infosec.

Cambiar su puerto SSH es solo “seguridad por oscuridad”, lo cual, como dice el refrán, es tan bueno como no tener seguridad, contra una amenaza persistente avanzada (APT).
No eres una oficina gubernamental o una megacorporación, así que a menos que hayas cabreado a los mafiosos rusos equivocados, la probabilidad de que te encuentres frente a un APT es insignificante.

Entonces sí, cambiar su puerto hace muy poco para detener a los atacantes que saben lo que están haciendo. Por lo menos, un escaneo de puertos es todo lo que se necesita para descubrir el nuevo puerto.

Pero mientras tanto, obtendrá solo una pequeña fracción de los ataques habituales de spam y script kiddie que de otro modo obtendría: prácticamente cualquier estudio que encuentre sobre la efectividad de cambiar el puerto del demonio SSH muestra una reducción dramática en el número de ataques, por ejemplo, los estudios de Cisco Systems y la Universidad de Clarkson (ver Capítulo 4) no observaron ataques en un demonio SSH en un puerto no estándar mientras recopilaban datos sobre cientos de miles de ataques en el puerto 22, incluso a pesar de que el último estudio descubrió que aproximadamente el 50% de los ataques están precedidos por un escaneo de puertos (simplemente usaron un puerto fuera del conjunto de 1600 que nmap escanea por defecto).

El punto es que el uso de un puerto no estándar no socavará su seguridad. Solo puede ayudar. Es solo que solo ayuda contra el tipo de ataque más común. Pero si todo lo que enfrenta son ataques comunes, entonces, por todos los medios, cambie su puerto SSH.

redes informáticasSeguridad informáticaSSH

Los archivos no se abren, muestran los caracteres chinos. Sin embargo, no se detectaron ransomware, malware, troyanos o virus. ¿Hay algo más que podría ser?

¿Sería prudente instalar Norton Security en mi iPhone?

¿Qué son las banderas rojas para el phishing?

¿Qué es la autenticación en dos etapas?

¿Por qué los hackers rusos piratean los Estados Unidos?

¿Qué es un filtro adaptativo?

No, no deberías, pero si quieres hay poco daño en eso. Aunque, potencialmente puede abrirse a más vulnerabilidades que si dejara sshd en el puerto 22

Primero, Costya Perepelitsa dio una gran explicación del nivel de “seguridad” que se obtiene a través de la seguridad a través de la oscuridad, y no puedo pensar en mucho para agregar al respecto. Por lo tanto, no cubriré ninguna de las razones por las cuales alejarse de sshd del puerto 22 no lo protegerá de nada más que de ataques automáticos.

Ahora, como he dicho, no es necesario mover ssh fuera del puerto 22. Instalar y configurar un servicio de fuerza bruta como fail2ban bloqueará permanentemente las direcciones IP de aquellos que intentan forzar la fuerza bruta en su servidor. Esto agrega una gran cantidad de protección y le ahorra la basura de registro generada por la fuerza bruta mientras le sigue notificando que se hizo un intento. Debería usar fail2ban o algo similar, independientemente de qué puerto escuche sshd

Después de eso, lo más importante que debe saber al mover sshd fuera del puerto 22 es que debe estar en un puerto <1024. En la mayoría de los sistemas * nix, solo los procesos propiedad de root pueden escuchar en los puertos 1 a 1024, mientras que el resto de los puertos pueden ser escuchados por procesos propiedad de cualquier usuario. En caso de que su sistema se vea comprometido y el atacante tenga un usuario no root en su sistema, puede reemplazar fácilmente el proceso sshd que escucha en su puerto> 1024 con uno propio que registrará toda su entrada, incluidas las contraseñas, y de este modo ganándolos raíz.

Este tipo de ataque es bastante fácil de ejecutar para el enemigo. Todo lo que necesitan hacer es matar el proceso sshd a través de exploit, o esperar a que se reinicie por una razón u otra. Una vez hecho esto, vinculan su sshd envenenado a su puerto no estándar que es> 1024 (que de nuevo, no necesitan hacer root), y simplemente esperan que inicie sesión con su cuenta de sudo enable.

Si bien es poco probable que ocurra esta situación, no puede simplemente mover sshd a un puerto diferente de cualquier manera y llamar a su servidor seguro. Debe ser capaz de prepararse para los peores escenarios. Entonces, si realmente desea mover ssh fuera del puerto 22, por amor a todo lo que es hermoso en este mundo, al menos manténgalo en un puerto <1024 y configure fail2ban.

… o simplemente podría deshabilitar todas las contraseñas para la autenticación sshd y usar certificados RSA en su lugar y eliminar todo este problema en el trasero.

Daniel Armbrust

Editar: Ok, necesito hacer mi respuesta más completa. No me di cuenta de que algunas personas piensan que esto es realmente una buena idea.

No. Cambiar su puerto SSH tiene un valor cercano a cero. En el mejor de los casos, reduce el ruido en sus archivos de registro. En el peor de los casos, da una falsa sensación de seguridad y dificulta los procedimientos operativos. En el peor de los casos, lo moverá a un puerto superior a 1024 y facilitará a las personas robar sus pulsaciones de teclas. Incluso si lo cambia, un hacker dedicado tardará 30 segundos en encontrar su nuevo puerto SSH.

Si desea proteger SSH de atacantes externos:

Desactive las contraseñas y use claves RSA en su lugar para la autenticación. https://help.ubuntu.com/communit …
Instale software como fail2ban para monitorear los archivos de registro y bloquear automáticamente los intentos de contraseña incorrecta.

Estos dos pasos son TAN simples. Son apenas más trabajo o esfuerzo y hacen que su sistema sea realmente seguro en lugar de solo fingir.

En serio, si vas a administrar tu sistema con la vista puesta en la seguridad, hazlo seguro, no solo como se ve.

Aquí hay algo más en la misma línea.

Por qué poner SSH en otro puerto que no sea el 22 es mala idea

Daniel Armbrust

Sí, reduce la posibilidad de que las personas y los scripts automáticos lo descubran. Seguridad por oscuridad, dicen algunos. El hecho es que si no pueden encontrar la puerta de entrada, pueden saltarse el edificio del hoyo y pasar a la siguiente.

No tiene nada de malo agregar una capa adicional de seguridad, aunque sea delgada.

Marc Runkel

Pros:

menos ruido en el registro

Contras:

la gente (y tú) olvidará a qué puerto cambiaste

El “profesional” puede ser anulado mediante el uso de claves en lugar de contraseñas (que de todos modos es una buena idea) y afinando su sistema de registro.
Esta respuesta supone que desea una capa adicional de higiene (ni siquiera protección).

Marc Runkel

Tal vez. Pero si su preocupación es la seguridad, algunas personas que hacen fuerza bruta con contraseña para acceder a su máquina, es mejor implementar alguna política de contraseña. Bloquear el inicio de sesión después de 3 (más paranoico) o 6 intentos de contraseña inválida, puede ayudar.

Marc Runkel

More Interesting

¿Cuáles son los posibles riesgos de seguridad al implementar y extraer su código de S3?

¿Explica en detalle DPaaS (protección de datos como servicio) y su arquitectura para la seguridad en la nube? ¿Y de qué manera proporciona una mayor seguridad que FDE (cifrado de disco completo) y FHE (cifrado totalmente homomórfico)?

¿Con qué frecuencia deberíamos esperar que el código descompilado se vuelva a compilar con éxito?

¿Por qué India no puede tener una política de seguridad cibernética sólida como las contrapartes extranjeras?

¿Pueden piratear mis WhatsApps y quién lo hace?

¿Cómo podría crear un sitio web totalmente seguro protegido con contraseña?

¿Cuál es la mejor protección antivirus gratuita?

¿Cuál es el mejor cifrado que conoces?

¿Es posible descifrar datos HTTPS usando una clave pública?

Mantengo una carpeta y una clave encriptadas (separadas) + software encriptado (en el caso) para que mi hija abra después de 14 años. ¿Qué es todo lo que no estoy considerando?