Одминский блог

Смена порта SSH-сервера как мера безопасности

Если заглянуть в логи, пожалуй любого SSH-сервера, то вы там однозначно увидите массу попыток установления соединения, брутфорсов, переборов имен пользователей и прочую муть. И все это происходит постоянно, час за часом, изо дня в день. Для себя я эту проблему решил уже довольно давно, используя по настроению порты свыше 1024.
В этой связи встает вопрос, что даст смена стандартного порта?

Можно провести небольшой опыт задав в конфиге сервера sshd_config несколько значений для сервиса:
Port 22
Port 28356

а в фаервольных правилах
-A INPUT -i eth0 -m tcp -p tcp –dport 22 -j LOG –log-level 7 –log-prefix “Logged port 22 ”
-A INPUT -i eth0 -m tcp -p tcp –dport 28356 -j LOG –log-level 7 –log-prefix “Logged port 28356 ”

после чего оставить силки открытыми на какое то время, с тем, чтобы посмотреть результаты манипуляции позже..

***  Обновление от 27.08:  за 12 часов, прошедших с момента реконфига сервера, правда путем внесения изменений в ipfilter , произошло 1335 попыток подключения на 22 порт и ни одной попытки на 28356 порт.

Эти цифры наглядно демонстрируют то факт, что единицы злоумышленников ищут демонов на не стандартных портах, причем попытка найти демона на порту, отличном от стандартного, с большой вероятностью будет осуществляться за счет сканирования, которое можно предотвратить за счет использования IPS или же сервиса Port Sentry. Следовательно, в случае обнаружения уязвимости сервера SSH типа zero-day шанс того, что эксплоит будет использован против сервиса крутящегося на нестандартном порту,  в тысячи раз ниже чем против сервисов использующих стандартные значения.

Хакеру гораздо проще и быстрее найти сотни демонов использующих стандартный 22 порт, чем морочиться с системой, где порт теряется в десятках тысяч неиспользуемых портов.  Из чего следует, что простейшая процедура может повысить безопасность вашего сервиса на порядки.

Теги: IT безопасность, Сети