Allgemein

Linux Web Server einbruchssicher aufsetzen – Teil 4: Security by Obscurity – Ruhe auf dem Port

Security by Obscurity

Das Prinzip Security by Obscurity oder auch „Sicherheit durch Unklarheit“ wird in der Praxis kontrovers diskutiert.
Dennoch kann das Prinzip auch seine Existenzberechtigung haben.
Ich greife hier einen möglichen Ansatz auf und beschreibe die Vorteile und Grenzen.

SSH- Port auf einen hohen Port & IPTables-DROP

Bei dieser Maßnahme verschiebe ich den SSH-Port 22 auf einen hohen Port > 20000. Ein Angreifer wird, wenn er versucht sich per SSH anzumelden,
erst mal nicht über die Standard-Ports auf den Server kommen. SSH „scheint“ nicht verfügbar.
Weiterhin konfiguriere ich die IPTables-Firewall so, dass sie Netzwerkanfragen auf den nichtoffenen Paketen verwirft (DROP) und nicht ablehnt (REJECT).

Dadurch, dass der Webserver sich nicht rückmeldet „scheint“ unter der IP kein Server verfügbar zu sein.

Schluss mit lästigen Botnetzen

Sobald ein Server im Internet offen sichtbar ist, beginnen die Botnetze ihn mit Brute-Force-Angriffen auf den SSH-Server zu belagern.
Unzählige Zombies versuchen sich anzumelden und den Server in das Botznetz zu integrieren. Ein Aussperren der Bots per Fail2ban reduziert zwar die
Anzahl der Attacken, vermeidet sie aber nicht.

Die einfachsten Implementierungen der Botnetze versuchen einen Angriff auf den Port 22. Ist Port 22 per IPTables auf DROP konfiguriert,
so scheint der SSH-Dienst für einen Botnetz-Zombie als nicht verfügbar.

Grenzen des Ansatzes

Dieser Ansatz schützt allerdings nicht vor einem Angriffsversuch durch einen Hacker. Ist einem Angreifer die IP bekannt und er
vermutet einen angreifenden SSH-Server, so kann er den SSH-Port durch einen Portscan ermitteln.

Fazit

Nach meiner Erfahrung reduzieren sich durch diese Strategie die Anzahl der
Brute-Force-Angriffe durch einfache Botnetz-Implementierungen ganz erheblich. Als Alleinmaßnahme schützt die Portänderung aber
nicht vor Angriffen. Weiterhin schützt die Maßnahme ausschließlich vor automatisierten Angriffen, einen Hacker wird sie nicht abwehren.