Du kan endre porten hvis du enkelt kan kommunisere den nye porten til brukerne, og hvis de kan konfigurere sine klienter til å bruke den nye porten.
kan enkelt se de fem brukere å logge inn via SSH til ett system å bruke SSH er -p < port > flagg. Men er denne økningen sikkerhet?
La oss vurdere saken hvor vi endre portnummeret på en potensielt sårbar SSH daemon. Vi står overfor fare fra tre hovedangrepsklasser:.. Ormer, script-kiddies og sofistikerte angripere
Worms skape kaos fordi de sprer seg raskt, ofte tar over de fleste maskiner på et LAN før sikkerhetssjefer kan ta det første kompromiss
Hva skjer hvis vi endrer porten vår SSH-nissen er fra standard port 22? Vel, de fleste ormer sondere bare standard port når vi leter etter sårbare maskiner. Smartere de kan koble seg til noen få porter, si, havner 80, 8080 og 8000 for webservere. Hvorfor gjør de ikke skanne alle porter? Delvis fordi ormer har en tendens til å være svært enkel, og prøver å koble til 65535 porter ville bremse utviklingen deres og generere mye mer trafikk. Sikkerhet ledere kunne oppdage angrep tidlig og fikse infiserte maskiner før ormen mettet nettverket.
En skript kiddie er mye som en orm i at han er en usofistikert angriper gjort farlig av automatiserte verktøy. Hans verktøy generelt sondere en port, eller et lite sett med porter, på et stort antall IP-adresser. Han er fokusert på scanning så mange maskiner som mulig for å finne sårbare systemer, slik at han unngår å skanne hver port. Igjen, vi vil unngå de fleste angrep på vår sårbare daemon ved å endre sin port.
Hva med den sofistikerte angriper? Hun er ikke avhengig av verktøy for hennes angrep intelligens - hun forstår hva hun gjør, og kan til og med lage verktøy fra bunnen av. Siden hun kan fokusere bare på ett område eller en maskin, kan hun ha råd til å skanne hver port. Hvis hun ønsker å expend innsatsen, vil hun finne alle SSH-nissen, selv om porten er endret.
Hvis vår angriperen har å skanne 65535 porter per målmaskinen stedet for bare én, hun kaster masse pakker på vårt nettverk og løper en større risiko for å bli oppdaget. For å motvirke dette, kan hun senke henne scan, øker forsinkelsen mellom undersøkelsespakker. Denne forsinkelsen vil redusere henne kompromiss hastighet og kjøpe oss tid til å lappe sårbare servere. Adressering sårbarheter før de blir angrepet er et løp -. Bremse angripe gir oss bedre odds for å vinne
Eller hun kan skanne færre porter - kanskje noen hundre eller tusen. Hvis vi velger nok tilfeldige portnumre, forbedrer vi oddsen på at hun ikke vil finne vår sårbare daemons
Hun kan skrike, ". Damn The Torpedoes, " og skanne alle porter i full fart. Hennes kompromiss rente er fortsatt redusert og vi fortsatt få en økt sjanse til å oppdage henne. En godt trent, empowered Incident Response Team kan selv stoppe eller inneholde hennes angrep.
Klart, det er mye sikkerhet opp til å endre en port på serveren. Så, hvorfor skulle ikke du endre porten? Først kan du ikke endre porten hvis noen av brannmurer mellom dine kunder og server i spørsmålet ikke vil tillate det. Dette er ganske uvanlig med mindre de er veldig restriktive brannmurer. For det andre kan du ikke endre porten på servere hvor du kobler klienten ikke lett kan rekonfigureres, som i tilfelle av DNS-servere. Til slutt kan du ikke endre porten hvis du ikke har noen enkel måte å kommunisere endringen til alle brukere - vil du miste i tilkoblings hva du får i sikkerhet. Hvis du kan unngå disse problemene, men å endre SSH daemon til en tilfeldig port er en utmerket måte å forbedre dine sjanser mot kompromiss.