Imagina que tengo un servicio oculto de Tor.
Para la máxima seguridad, sería firewall de Internet completamente, excepto Tor, para tratar de reducir la fuga de direcciones IP y otros riesgos de seguridad.
Mi problema es, ¿cómo podría conectarme a la caja a través de SSH?
Mi pregunta es ¿cómo puede mantener cerrados todos los puertos por razones de seguridad, y seguir accediendo a VPS con SSH? No puedo pensar en una forma segura de hacer esto, que mantenga el servidor seguro.
Mucho de lo que comenté en esta respuesta sobre puertos SSH alternativos se aplica a esta pregunta.
Debido a que su objetivo es ser lo más invisible posible *, creo que lo mejor que puede hacer es golpear los puertos con una herramienta como fwknop (como se indica en esta pregunta crypto.SE ) o tal vez un esquema personalizado de contraseña de un solo uso para tener suficiente golpes de puerto complicados (para ayudar a proteger contra ataques de repetición ).
Otra idea es portar a través de Tor; puede haber latencia dentro de Tor, pero la conmutación de puertos no consume mucho ancho de banda y puede configurarse para tolerar más latencia. Una vez que haya llamado a la dirección .onion, el final de su llamada podría ser una forma encriptada (o texto sin formato, dependiendo de su sensibilidad) de la dirección IP pública de su cliente, que luego podrá acceder a la dirección IP pública del servidor para una ventana de tiempo corto.
También querrá un sistema como Fail2ban , que puede reconocer inicios de sesión fallidos y prohibir la IP que los intentó (por defecto, Fail2ban bloquea una IP durante diez minutos después de diez inicios de sesión fallidos en diez minutos, pero todo esto es configurable). Esto te ayudará a protegerte contra ataques provenientes de sistemas que comparten tu dirección IP pública (por ejemplo, estar detrás del mismo NAT o reclamar tu IP cuando te desconectas).
Todavía recomendaría usar Tor para su acceso diario y solo conmutar a la Internet pública cuando Tor se vuelve demasiado lento (lo cual es de esperar que no sea tan frecuente; gran parte de la velocidad lenta de Tor proviene de la falta de acceso a los nodos, pero un servicio oculto no necesita un nodo de salida).
* Dado que Tor se ejecuta sobre Internet, todavía necesita algunos puertos expuestos a Internet público. No serás completamente invisible y cualquier adversario debería poder determinar fácilmente que tu servidor ejecuta Tor. Es posible que pueda realizar algún tipo de detonación de puertos inversa (al detectar un escaneo de puertos, dejar caer todos los paquetes hacia y desde esa IP), pero algunos escaneos de puertos son difíciles de detectar (y un atacante podría comenzar con el puerto en cuestión) .