Si un servidor utiliza la autenticación de clave pública / privada para acceder a SSH, ¿habrá alguna ventaja de restringir el acceso de SSH a través de VPN? Este link describe ambos enfoques para resolver la bruta forzar ataques, pero ¿tendría una ventaja sobre la otra (en lo que respecta a la seguridad) y la combinación de ambas tendría alguna ventaja o solo agregaría una complejidad inútil?
SSH y VPN proporcionan básicamente los mismos mecanismos de cifrado. Imaginemos que ambos proporcionan la misma seguridad y que usted los configuró bien. Si un atacante puede descifrar su comunicación VPN en un tiempo razonable, probablemente significa que puede hacer lo mismo para SSH casi al mismo tiempo.
Entonces, duplicaste tu defensa, pero a un costo relativamente alto (podrías haberlo hecho mejor con una clave más larga, por ejemplo).
La defensa en profundidad es algo bueno; pero creo que aquí estaría intentando duplicar su defensa al mismo nivel, por lo que mi consejo sería que se centre en una de las soluciones (probablemente SSH si está ingresando de forma remota a un solo servidor, VPN que desea conectarse a un servidor). Red) para conocerlo y configurarlo bien. Una buena defensa en profundidad puede consistir en un cortafuegos, fai2ban (como se menciona en el artículo) ...
Actualmente no es posible forzar la fuerza bruta en una conexión SSH utilizando solo autenticación basada en claves. Una VPN en la parte superior de una conexión SSH no agrega seguridad sustancial.
Sería mejor concentrarse en reducir los efectos colaterales de los ataques de fuerza bruta en su conexión SSH (los trámites de DoS y registros serían los principales), que se describen en el artículo que vinculó.
Lea otras preguntas en las etiquetas authentication brute-force ssh vpn