web-dev-qa-db-ja.com

非表示のサービスセキュリティSSH

Torの隠しサービスがあるとしましょう。

究極のセキュリティを確保するために、Torを除いてインターネットを完全にファイアウォールで保護し、IPアドレスの漏えいやその他のセキュリティリスクを軽減しようとしました。

私の問題は、どうすればSSH経由でボックスに接続できるでしょうか?

セキュリティ上の理由ですべてのポートを閉じたまま、SSHでVPSにアクセスするにはどうすればよいですか?サーバーを安全に保つ安全な方法は考えられません。

4
k1308517

代替SSHポートに関するこの回答 で説明したことの多くは、この質問に当てはまります。

あなたの目標は可能な限り目に見えないようにすることなので、私はあなたの最善の策は fwknopこのcrypto.SEの質問 に記載されているような)のようなツールを使用した安全なポートノッキングであると思いますまたはおそらくカスタム ワンタイムパスワード 十分に複雑なポートノックのスキーム( リプレイ攻撃 から保護するため)。

別のアイデアは、Torをノックスルーして移植することです。 Tor内でレイテンシが発生する可能性がありますが、ポートノッキングは帯域幅をあまり消費せず、レイテンシを許容するように構成できます。 .onionアドレスをノックすると、ノックの終わりはクライアントのパブリックIPアドレスの暗号化された形式(または機密性に応じてプレーンテキスト)になる可能性があり、サーバーのパブリックIPアドレスにアクセスできるようになります。短い時間枠。

Fail2ban のようなシステムも必要です。これは、失敗したログインを認識し、試行したIPを禁止できます(デフォルトでは、Fail2banは、10分以内に10回ログインに失敗した後、10分間IPをブロックしますが、これはすべて構成可能です)。これは、パブリックIPアドレスを共有するシステムからの攻撃から保護するのに役立ちます(たとえば、同じNATの背後にいる、または切断時にIPを要求することによって)。

Torを日常のアクセスに使用することをお勧めします。Torが遅くなりすぎた場合にのみパブリックインターネットにフェイルオーバーします(これが頻繁に発生しないことを願います。Torの低速の多くは、出口ノードが不足しているために発生しますが、非表示のサービスです出口ノードは必要ありません)。

* Torはインターネット上で実行されるため、パブリックインターネットに公開されているいくつかのポートが必要です。あなたは完全に見えなくなるわけではなく、敵がサーバーがTorを実行していることを簡単に判別できるはずです。ある種のリバースポートノッキング(ポートスキャンを検出すると、そのIPとの間のすべてのパケットをドロップする)を実行できる可能性がありますが、一部のポートスキャンは検出が困難です(そして、攻撃者は問題のポートで開始する可能性があります) 。

1
Adam Katz