Ocultar los puertos que son golpeados durante el Knocking de puertos

Obviamente, esto es un desafío de marco, así que entiendo que no te guste esta respuesta. Sin embargo:

La mayor ventaja (en mi opinión) de la activación de puertos es que filtra automáticamente todos los bots en Internet que intentan aleatoriamente forzar la fuerza bruta en cada servidor SSH que encuentren. También puede ser útil ya que proporciona una pequeña capa adicional de protección contra las vulnerabilidades de 0 días en el servidor SSH (si nadie sabe que su servidor está allí, no pueden intentar un día de 0, incluso si usted es vulnerable) . Sin embargo, el punto en ambos casos es el mismo:

El bloqueo de puertos es más efectivo como una forma de filtrar los ataques de drive-by contra tu servidor

Una vez que hable sobre un ataque dirigido (es decir, alguien con un MITM que observa el proceso de detonación de puertos), entonces la detonación de puertos definitivamente fallará como método de seguridad. Incluso si hubiera una manera de ocultar las combinaciones de puertos de un atacante dedicado, el hecho de que estén dirigidos específicamente a su organización significa que la seguridad de su puerto ha logrado su trabajo particular. Simplemente se supone que debe mantener alejados a los atacantes, y lo hace tanto. Intentar extenderlo para abarcar más ataques dirigidos para los cuales este método de seguridad no fue diseñado originalmente probablemente le causará más problemas de los que vale (en la implementación y el soporte de la nueva función de seguridad, y el riesgo de bloquearse accidentalmente ).

¿Puede ocultar la secuencia de detonación de puertos de un atacante MITM? Estoy bastante seguro de que la respuesta es no, aunque no estoy listo para hacer una declaración definitiva allí. De todas formas, creo que vas a hacerte un gran dolor de cabeza para intentar mitigar un vector de ataque con un mecanismo de defensa que no fue realmente diseñado para ello. Como resultado, creo que es mejor que encuentre otras formas de proteger sus servidores y mantener su puerto de manera simple. Probablemente ya esté haciendo esto, pero simplemente desactivar la autenticación basada en contraseña y permitir la autenticación solo a través de claves privadas suele ser la primera y más efectiva medida de seguridad para un servidor SSH y (IMO) una forma más efectiva de bloquear la unidad por ataques que golpea el puerto.

La detonación de puertos es esencialmente un protocolo no estándar. Lo mismo ocurre con la ejecución de puertos no estándar, puede hacer esto o inventar una serie de otros protocolos no estándar, pero debe considerar su propósito.

Si el punto principal es manejar los ataques, entonces algo como la configuración de Fail2Ban en la línea de:

Si fallan 3 contraseñas en menos de 2 minutos, bloquea la IP de origen por 30 minutos.

Esto eliminará los ataques automatizados de bots de miles por día a unos pocos o ninguno en poco tiempo. La digitación de grasa real por parte de la gente puede esperar el bloqueo.

Agregue conexiones cifradas TLS estándar (con verificación de certificado) y podrá manejar la amenaza MiTM. Incluso puede agregar certificados de cliente si lo considera necesario.

Los protocolos personalizados son casi siempre una mala idea o, en el mejor de los casos, difíciles de usar.

Si se desea un nivel más profundo de "Ocultar", entonces considere un Servicio Oculto de Tor.