Al ejecutar un servidor web público (por ejemplo, con Apache), he oído que se recomienda vincular SSH a una segunda dirección IP, diferente de la que escucha Apache.
Pero para mí, parece que esto es solo una cuestión de ofuscación: una vez que un atacante conoce la segunda dirección IP, la situación sería la misma que con una única dirección IP.
Estoy en lo cierto? ¿O hay otros beneficios de usar una segunda dirección IP a excepción de la ofuscación?
A menos que esa dirección IP pertenezca a una red de administración dedicada que implemente seguridad adicional, es un desperdicio de recursos.
Obviamente, ambas direcciones IP están terminando en el mismo servidor. Esto significa que, a menos que entren a través de redes diferentes (es decir, una red de administración que implementa protección adicional), no habrá diferencia localmente entre una conexión a SSH que se realiza en una IP u otra: puede establecer un firewall exactamente de la misma manera (si lo desea) y no se hace más o menos obvio en los registros.
Lo único que está "ocultando" es la relación entre el servidor SSH y el servidor web y, a menos que tenga un procedimiento muy deficiente para seleccionar nombres de cuentas, no debería importar.
Sin embargo, si está utilizando una red de administración dedicada, es un asunto diferente: una red de este tipo podría requerir que todas las conexiones pasen por una fase de autenticación segura e imponer una limitación adicional a la parte asociada (por ejemplo, puede requerirlas). para estar físicamente conectado a la red, o pasar por una VPN que requiere 2FA y asegurarse de que su cliente esté "limpio" ).
Básicamente tienes razón. Es una ofuscación. La ofuscación no carece de valor, pero no debes confiar en ella.
La primera respuesta es correcta, por cierto, que es una buena práctica alojar servicios de administración como SSH en una red separada (es decir, no en Internet).
Es un poco como mover SSH a un puerto diferente. Solo escondes algo (mal) y eso no debería ser algo en lo que basarse la seguridad de un sistema. Puede deshacerse de los atacantes que realmente no saben lo que están haciendo (y de todos modos no se meterán en ssh si está configurado correctamente), pero de lo contrario, es inútil.
Con fwknop implementado, cualquiera que use nmap para buscar SSHD ni siquiera puede Dile que está escuchando, no importa si quieren correr. un cracker de contraseñas contra SSHD o incluso si tienen un exploit de 0 días.
Tengo algunas aquí para usar fwknop . También puedo ssh en contenedores detrás de NAT sin puerto abierto externamente.
Supongo que una buena pregunta sería ¿por qué incluso tienes SSH abierto a la WAN? ... Como otros han mencionado, la administración a través de una red privada es el Santo Grial.
La mejor aproximación (y la razón por la que incluso me molesto en responder aquí) para una conexión WAN es un conjunto de reglas IP o cortafuegos que solo permite SSH desde una dirección IP particular. Una de estas estrategias es un servidor SSH dedicado que use solo autenticación basada en clave (si es necesario, desde cualquier dirección IP) y un servidor WWW que solo acepte SSH de entrada de la dirección IP de dicho servidor. Cuando un atacante tiene que adivinar y luego falsificar una dirección IP para ingresar, usted ha agregado una buena capa de protección. Ese podría ser una aplicación para su segunda dirección IP ...