SSHに2番目の専用IPアドレスを使用する必要がありますか?
パブリックWebサーバー(Apacheなど)を実行している場合、ApacheがリッスンしているIPアドレスとは異なる2番目のIPアドレスにSSHをバインドすることをお勧めします。
しかし、私にとってはこれは難読化の問題にすぎないようです-攻撃者が2番目のIPアドレスを知ったら、状況は単一のIPアドレスの場合と同じになります。
私は正しいですか?または、難読化を除いて、2番目のIPアドレスを使用する他の利点はありますか?
そのIPアドレスが追加のセキュリティを実装する専用の管理ネットワークに属していない限り、それはリソースの浪費です。
どちらのIPも、明らかに同じサーバー上に存在します。つまり、異なるネットワーク(つまり、追加の保護を実装する管理ネットワーク)を経由しない限り、SSHへの接続がローカルでもIPでもローカルでも違いはありません。これらをまったく同じ方法でファイアウォールできます。 (必要に応じて)そして、ログでそれが多かれ少なかれ明白になることはありません。
あなたが「隠している」唯一のことは、SSHサーバーとWebサーバーの間の関係であり、アカウント名を取得するための非常に不十分な手順がない限り、それは問題ではありません。
ただし、専用の管理ネットワークを使用している場合、それは別の問題です。そのようなネットワークでは、すべての接続が安全な認証フェーズを通過する必要があり、接続側に追加の制限を課すことができます(たとえば、物理的に接続するように要求できます)ネットワークに接続されているか、または 2FA を必要とするVPNを経由し、クライアントが「クリーン」であることを確認します)。
あなたは基本的に正しいです。難読化です。難読化には価値がないわけではありませんが、それに依存すべきではありません。
最初の答えは正解です。BTW、別のネットワーク(つまり、インターネットではない)でSSHなどのホスト管理サービスを実行することをお勧めします。
これは、SSHを別のポートに移動するようなものです。あなたは何かを(不十分に)隠すだけで、それはシステムのセキュリティに依存するものであってはなりません。攻撃者は何をしているのか本当にわからない(そして、適切に設定されていればとにかくsshに侵入しない)攻撃者を追い出す可能性がありますが、それ以外の場合は役に立ちません。
Fwknopが展開されている場合、nmapを使用してSSHDを探すことは誰でも、それがリッスンしていることさえわかりません。SSHDに対してパスワードクラッカーを実行したい場合でも、ゼロデイエクスプロイトがある場合でも、違いはありません。
fwknopを使用するための注意事項 があります。外部にポートを開かずに、sshをNATの背後のコンテナに_することもできます。
とにかく、SSHをWANに開放しているのはなぜでしょうか。 ...他の人が述べたように、プライベートネットワークを介した管理は聖杯です。
WAN接続は、特定のIPアドレスからのSSHのみを許可するIPラッパーまたはファイアウォールルールセットです。このような戦略の1つは専用です。鍵ベースの認証のみを使用するSSHサーバー(必要に応じて、任意のIPアドレスから)、およびサーバーのIPアドレスからのインバウンドSSHのみを受け入れるWWWサーバー。攻撃者が推測し、偽装する必要がある場合、取得するIPアドレスで、保護の適切なレイヤーが追加されました可能性があります 2番目のIPアドレスの1つのアプリケーションになります...