Nascondere le porte colpite durante il Port Knocking

Ovviamente questo è un po 'una sfida di frame, quindi capisco se non ti piace questa risposta. Tuttavia:

Il più grande vantaggio (a mio parere) del knock-out è che filtra automaticamente tutti i bot su Internet che girano casualmente cercando di forzare in modo brusco tutti i server SSH che trovano. Può anche essere utile in quanto fornisce un piccolo ulteriore livello di protezione contro le vulnerabilità di 0 giorni nel server SSH (se nessuno sa che il tuo server è presente, allora non può tentare uno 0 giorni, anche se sei vulnerabile) . Tuttavia, il punto in entrambi i casi è lo stesso:

Il knocking del porto è più efficace come metodo per filtrare gli attacchi drive-by contro il server

Una volta che si parla di un attacco diretto (ad esempio qualcuno con un MITM che osserva il processo di bussare alla porta), la bussola alla porta fallirà sicuramente come metodo di sicurezza. Anche se ci fosse un modo per nascondere le combinazioni di porte di un attaccante dedicato, il fatto che siano mirate specificamente alla tua organizzazione significa che la sicurezza del tuo porto ha compiuto il suo particolare lavoro. Si suppone semplicemente di tenere fuori gli attaccanti drive-by, e fa altrettanto. Il tentativo di estenderlo per coprire attacchi più mirati che questo metodo di sicurezza non è stato originariamente progettato per probabilmente causerà più problemi di quanti ne valga (nell'implementazione e supporto di nuove funzionalità di sicurezza e il rischio di bloccarsi accidentalmente ).

Può nascondere la sequenza di knockout di porta di un aggressore MITM? Sono abbastanza sicuro che la risposta è no, anche se non sono pronto a fare una dichiarazione definitiva lì. Ad ogni modo, penso che farai un grosso mal di testa per te stesso per tentare di mitigare un vettore di attacco con un meccanismo di difesa che non è stato realmente progettato per questo. Di conseguenza, penso che tu stia meglio trovando altri modi per proteggere i tuoi server e per far sì che la tua porta sia semplice. Probabilmente lo stai già facendo, ma semplicemente disattivando l'autenticazione basata su password e consentendo l'autenticazione tramite chiavi private solo di solito è la prima e più efficace misura di sicurezza per un server SSH e (IMO) un modo più efficace di bloccare le unità dagli attacchi di babylon.

Il bussare delle porte è essenzialmente un protocollo non standard. Lo stesso vale per le porte non standard, puoi farlo o inventare miriadi di altri protocolli non standard, ma devi considerare il tuo scopo.

Se il punto principale è gestire gli attacchi, allora qualcosa come Fail2Ban è configurato come segue:

Se 3 errori di password in meno di 2 minuti, blocca l'IP di origine per 30 minuti.

Ciò causerà la caduta automatica di attacchi bot da migliaia al giorno a pochi a nessuno in breve tempo. La diteggiatura effettiva delle persone può attendere il blocco.

Aggiungi connessioni TLS standard crittografate (con verifica del certificato) e gestisci la minaccia MiTM. Puoi anche aggiungere nel cliente CERTS se ne senti la necessità.

I protocolli personalizzati sono quasi sempre una cattiva idea, o difficili da usare al meglio.

Se desideri un livello più profondo di "Nascondere", prendi in considerazione un servizio nascosto di Tor.