Internet adalah tempat yang liar dan menakutkan, penuh dengan ketidakpuasan yang motifnya berkisar dari keingintahuan hingga usaha kriminal. Orang-orang jahat ini terus-menerus memindai komputer yang menjalankan layanan yang ingin mereka eksploitasi; biasanya layanan yang lebih umum seperti SSH, HTTP, FTP, dll. Pemindaian biasanya termasuk dalam salah satu dari dua kategori:
- Pindai ulang untuk melihat alamat IP apa yang membuka layanan tersebut.
- Eksploitasi pemindaian terhadap alamat IP yang diketahui menjalankan layanan tertentu.
Mempertimbangkan seberapa besar Internet biasanya tidak mungkin untuk melihat setiap port dari setiap alamat IP untuk menemukan apa yang didengarkan di mana-mana. Ini adalah inti dari saran untuk mengubah port default Anda. Jika individu yang tidak terpengaruh ini ingin menemukan server SSH, mereka akan mulai menyelidiki setiap alamat IP pada port 22 (mereka juga dapat menambahkan beberapa alternatif umum seperti 222 atau 2222). Kemudian, setelah mereka memiliki daftar alamat IP mereka dengan port 22 terbuka, mereka akan memulai kekerasan kata sandi mereka untuk menebak nama pengguna/kata sandi atau meluncurkan kit eksploitasi pilihan mereka dan mulai menguji kerentanan yang diketahui (setidaknya bagi mereka) pada sistem target.
Ini berarti bahwa jika Anda mengubah port SSH Anda ke 34887 maka sapuan itu akan melewati Anda, kemungkinan besar mengakibatkan Anda tidak menjadi target pembobolan lanjutan.
Tampak kemerahan bukan? Namun ada beberapa kelemahannya.
- Dukungan Klien:Setiap orang yang terhubung ke server Anda perlu mengetahui dan menggunakan port yang diubah. Jika Anda berada di lingkungan yang sangat terkelola, konfigurasi ini dapat diturunkan ke klien, atau jika Anda memiliki cukup sedikit pengguna, konfigurasi ini akan mudah untuk dikomunikasikan.
- Pengecualian Dokumentasi:Sebagian besar perangkat jaringan, seperti firewall dan IDS, telah disiapkan sebelumnya untuk layanan umum agar dijalankan di port umum. Aturan firewall apa pun yang terkait dengan layanan ini di perangkat ini perlu diperiksa dan mungkin diubah. Demikian pula, tanda tangan IDS akan di-tweak sehingga hanya melakukan pemeriksaan SSH pada port 22. Anda harus memodifikasi setiap tanda tangan, setiap kali diperbarui, dengan port baru Anda. (Sebagai titik data saat ini ada 136 VRT dan ET snort signature yang melibatkan SSH).
- Perlindungan Sistem:Linux modern sering dikirimkan dengan sistem MAC dan/atau RBAC lapisan kernel (mis. SELinux pada berbasis RedHat atau AppAmor pada berbasis Debian) dan yang dirancang hanya untuk memungkinkan aplikasi melakukan apa yang dimaksudkan untuk dilakukan . Itu bisa berkisar dari mengakses
/etc/hostsfile, untuk menulis ke file tertentu, atau mengirim paket keluar di jaringan. Bergantung pada bagaimana sistem ini dikonfigurasi, mungkin, secara default, melarangsshddari mengikat ke port non-standar. Anda perlu mempertahankan kebijakan lokal yang mengizinkannya. - Pemantauan Pihak Lain:Jika Anda memiliki divisi Keamanan Informasi eksternal, atau melakukan outsourcing pemantauan, mereka perlu mengetahui perubahan tersebut. Saat melakukan penilaian keamanan, atau menganalisis log mencari ancaman keamanan, jika saya melihat server SSH berjalan pada port non-standar (atau server SSH pada non-UNIX/Linux dalam hal ini) saya memperlakukannya sebagai backdoor potensial dan meminta bagian sistem yang disusupi dari prosedur penanganan insiden. Kadang-kadang diselesaikan dalam 5 menit setelah melakukan panggilan ke administrator dan diberi tahu bahwa itu sah, pada saat itu saya memperbarui dokumentasi, di lain waktu itu benar-benar keburukan yang diurus. Bagaimanapun juga, hal ini dapat mengakibatkan waktu henti bagi Anda atau, paling tidak, panggilan yang menegangkan saat Anda menjawab telepon dan mendengar, "Hai, ini Bob dari Kantor Keamanan Informasi. Saya punya beberapa pertanyaan untuk Anda ."
Sebelum mengubah port Anda, Anda perlu mempertimbangkan semua ini sehingga Anda tahu Anda membuat keputusan terbaik. Beberapa dari kerugian itu mungkin tidak berlaku, tetapi beberapa pasti akan berlaku. Juga pertimbangkan apa yang Anda coba lindungi dari diri Anda sendiri. Sering kali lebih mudah untuk mengonfigurasi firewall Anda agar hanya mengizinkan akses ke 22 dari host tertentu, bukan dari seluruh Internet.
Ya bisa, bukan dengan meningkatkan keamanan tetapi Anda bisa mengurangi jumlah upaya login yang gagal di server Anda. Saya selalu mengubah ssh default saya untuk mengurangi peringatan yang saya dapatkan dari ossec. Juga jika Anda menggunakan port yang benar-benar acak dan seseorang masih mencoba mengakses mesin Anda, kemungkinan besar itu adalah serangan yang ditargetkan daripada pemindai acak.
Seperti yang dikatakan orang lain, menempatkan SSH pada port selain 22 akan membuat lebih tidak mungkin terkena pemindaian acak. Anda akan menjadi sasaran jika penyerang mencoba mendapatkan milik Anda server, bukan server mana pun.
Saya memiliki server dengan ssh terikat ke port tinggi acak. Dan saya memiliki ssh honeypot di port 22, yang akan membalas setiap dan setiap upaya masuk dengan pesan 'akses ditolak'.
Saya tidak berpikir itu adalah pertahanan dengan ketidakjelasan , tapi pertahanan mendalam :untuk menyerang server saya, penyerang harus menemukan port terlebih dahulu. Jika saya memiliki beberapa honeypot palsu (banyak port yang dialihkan ke honeypot yang sama), penyerang akan menemukan banyak honeypot palsu dan tidak tahu apakah itu mengenai ssh asli atau tidak.
Itu hanya pertahanan. Saya punya portsentry aktif juga, jadi jika seseorang mencoba portscan, mereka akan diblokir selama satu jam. Jika mereka memaksa kata sandi di ssh yang tepat, mereka akan menerima 'akses ditolak' selama satu jam. Jika mereka berhasil menebak kata sandinya, mereka akan diberi prompt PAM yang meminta token Google Auth.
Biaya untuk mengganti port sangat rendah, dan menurut saya kerugiannya dibenarkan oleh keuntungannya.