Internet est un endroit sauvage et effrayant, plein de mécontents dont les motivations vont de la curiosité à l'entreprise criminelle. Ces personnes peu recommandables recherchent constamment des ordinateurs exécutant des services qu'ils espèrent exploiter ; généralement les services les plus courants tels que SSH, HTTP, FTP, etc. Les analyses appartiennent généralement à l'une des deux catégories suivantes :
- Recon analyse pour voir sur quelle adresse IP ces services sont ouverts.
- Analyses d'exploitation des adresses IP qui exécutent un service spécifique.
Compte tenu de la taille d'Internet, il est généralement impossible de regarder sur chaque port de chaque adresse IP pour trouver ce qui écoute partout. C'est le cœur du conseil pour changer votre port par défaut. Si ces personnes désaffectées veulent trouver des serveurs SSH, elles commenceront à sonder chaque adresse IP sur le port 22 (elles peuvent également ajouter des alternatives courantes telles que 222 ou 2222). Ensuite, une fois qu'ils auront leur liste d'adresses IP avec le port 22 ouvert, ils commenceront leur force brute de mot de passe pour deviner les noms d'utilisateur/mots de passe ou lanceront leur kit d'exploit de choix et commenceront à tester les vulnérabilités connues (au moins pour eux) sur le système cible.
Cela signifie que si vous changez votre port SSH en 34887, ce balayage vous passera, ce qui vous évitera probablement d'être ciblé par le cambriolage de suivi.
Cela semble rose, non ? Il y a cependant quelques inconvénients.
- Assistance client :toutes les personnes qui se connectent à votre serveur doivent connaître et utiliser le port modifié. Si vous êtes dans un environnement fortement géré, cette configuration peut être transmise aux clients, ou si vous avez peu d'utilisateurs, il devrait être facile de communiquer.
- Exceptions de documentation :la plupart des périphériques réseau, tels que les pare-feu et les IDS, sont préconfigurés pour que les services communs soient exécutés sur des ports communs. Toutes les règles de pare-feu liées à ce service sur cet appareil devront être inspectées et éventuellement modifiées. De même, les signatures IDS seront modifiées de manière à n'effectuer l'inspection SSH que sur le port 22. Vous devrez modifier chaque signature, à chaque mise à jour, avec votre nouveau port. (En tant que point de données, il existe actuellement 136 signatures de reniflement VRT et ET impliquant SSH).
- Protections du système :les Linux modernes sont souvent livrés avec des systèmes MAC et/ou RBAC de la couche noyau (par exemple, SELinux sur la base de RedHat ou AppAmor sur la base de Debian) et qui sont conçus pour permettre uniquement aux applications de faire exactement ce qu'elles sont censées faire . Cela peut aller de l'accès au
/etc/hostsfichier, à écrire dans un fichier spécifique ou à envoyer un paquet sur le réseau. Selon la configuration de ce système, il peut, par défaut, interdiresshdde la liaison à un port non standard. Vous auriez besoin de maintenir une politique locale qui l'autorise. - Surveillance d'autres parties :si vous disposez d'une division de sécurité de l'information externe ou si vous sous-traitez la surveillance, elle devra être informée du changement. Lors d'une évaluation de la sécurité ou de l'analyse de journaux à la recherche de menaces de sécurité, si je vois un serveur SSH s'exécuter sur un port non standard (ou un serveur SSH sur un non-UNIX/Linux d'ailleurs), je le traite comme une porte dérobée potentielle et invoquer la partie système compromis de la procédure de traitement des incidents. Parfois, il est résolu en 5 minutes après avoir appelé l'administrateur et s'être fait dire que c'est légitime, auquel cas je mets à jour la documentation, d'autres fois, c'est vraiment la méchanceté qui est prise en charge. Dans tous les cas, cela peut entraîner des temps d'arrêt pour vous ou, à tout le moins, un appel angoissant lorsque vous répondez à votre téléphone et entendez :"Bonjour, c'est Bob du Bureau de la sécurité de l'information. J'ai quelques questions à vous poser. ."
Avant de changer votre port, vous devez prendre tout cela en compte afin de savoir que vous prenez la meilleure décision. Certains de ces inconvénients peuvent ne pas s'appliquer, mais certains le seront certainement. Réfléchissez également à ce contre quoi vous essayez de vous protéger. Souvent, il est simplement plus facile de simplement configurer votre pare-feu pour n'autoriser l'accès qu'à 22 hôtes spécifiques, par opposition à l'ensemble d'Internet.
Oui, ce n'est pas possible en augmentant la sécurité, mais vous pouvez réduire le nombre de tentatives de connexion infructueuses sur votre serveur. Je change toujours mon ssh par défaut pour réduire les avertissements que je reçois d'ossec. De plus, si vous utilisez un port vraiment aléatoire et que quelqu'un essaie toujours d'accéder à votre machine, il y a plus de chances qu'il s'agisse d'une attaque ciblée plutôt que d'un scanner aléatoire.
Comme d'autres l'ont dit, mettre SSH sur un port autre que 22 rendra plus improbable une analyse aléatoire. Vous serez ciblé si l'attaquant essaie d'obtenir votre serveur, pas n'importe quel serveur.
J'ai un serveur avec ssh lié à un port haut aléatoire. Et j'ai un pot de miel ssh sur le port 22, qui répondra à toute tentative de connexion avec un message "accès refusé".
Je ne pense pas que ce soit une défense par l'obscurité , mais défense en profondeur :pour attaquer mon serveur, l'attaquant doit d'abord trouver le port. Si j'ai quelques faux pots de miel (beaucoup de ports redirigeant vers le même pot de miel), l'attaquant touchera beaucoup de faux et n'aura aucun moyen de savoir s'il a touché le vrai ssh ou non.
Ce n'est que la défense, cependant. J'ai portsentry actif aussi, donc si quelqu'un essaie un port scan, il sera bloqué pendant une heure. S'ils brutalisent le mot de passe sur le bon ssh, ils recevront un "accès refusé" pendant une heure. S'ils réussissent à deviner le mot de passe, une invite PAM leur demandera le jeton d'authentification Google.
Le coût de changement de port est très faible, et je pense que les inconvénients sont justifiés par les avantages.