Có phải là xấu khi chuyển tiếp cổng 443 cho ssh?


7

Tôi là một sinh viên và tôi giữ hầu hết các tập tin của tôi trên máy tính ở nhà của tôi. Thật không may, tôi không thể sử dụng ssh hoặc scp từ máy tính xách tay mà tôi sử dụng ở trường vì tường lửa. Tôi đã suy nghĩ về việc cố gắng sử dụng cổng 443 vì điều đó có thể mở.

Câu hỏi của tôi là: Tôi có nhiều máy tính trong nhà và vì vậy tôi đang sử dụng bộ định tuyến. Nó có tệ không nếu tôi chuyển 443 sang máy tính? Tôi không chắc chắn nếu có bất kỳ vấn đề bảo mật nào liên quan đến vấn đề này hoặc liệu nó có làm hỏng bất cứ điều gì khi cố gắng sử dụng https từ các máy tính khác của tôi không.


Tôi không bao giờ mở bất kỳ dịch vụ nào ra bên ngoài, chỉ cần một VPN để vào nhà tôi. Tuy nhiên tôi nhận ra nó khá phức tạp. Twist thú vị, cổng 443 trang phục vụ và ssh cùng một lúc.
Rui F Ribeiro

@RuiFRibeiro - Vì vậy, thay vì mở một dịch vụ ra bên ngoài (SSH), bạn khuyên bạn nên mở một dịch vụ ra bên ngoài (VPN)?
marcelm

Trong ngắn hạn, một sự đánh đổi an ninh cho một dịch vụ ít bị lạm dụng. Rõ ràng sau khi có VPN, bạn không bị giới hạn chỉ cung cấp SSH.
Rui F Ribeiro

1
@RuiFRibeiro VPN ít bị lạm dụng (tôi cho rằng bạn có nghĩa là bị tấn công) so với SSH? Tôi không bị thuyết phục về điều đó. Và với giá trị của nó, tôi tin tưởng SSH hơn các triển khai VPN thông thường ...
marcelm

@RuiFRibeiro SSH cũng không. Có một cái nhìn về chuyển tiếp cổng hoặc ssh mực .
Sebb

Câu trả lời:


13

Nó sẽ hoạt động tốt, nó không an toàn hơn việc sử dụng một cổng khác cho ssh (hoặc kém an toàn hơn cho vấn đề đó). Và không, các socket TCP bên ngoài không giống như các socket TCP gửi vào - vì vậy nó không nên can thiệp vào lưu lượng mạng bên ngoài của bạn.


Ok cảm ơn vì điều đó chắc chắn sẽ dọn dẹp rất nhiều thứ. Tôi biết rằng trong và ngoài nước là riêng biệt nhưng nếu có một yêu cầu https đến khác thì sao? điều đó có thể xảy ra không?
yasgur99

Chỉ khi bạn đang cố chạy máy chủ web hoặc nếu ai đó thực hiện quét cổng. Trong trường hợp máy chủ web, bạn phải quyết định xem bạn có muốn hỗ trợ https trên máy chủ của mình (hoặc ssh) không. Và trong trường hợp quét cổng, nó không khác với nghe trên bất kỳ cổng nào khác.
Elliott Frisch

được rồi, cảm ơn rất nhiều (tôi không có đại diện ở đây nhưng tôi sẽ bỏ phiếu nếu tôi có thể)
yasgur99

1
Tôi đã làm nó trong quá khứ và nó hoạt động hoàn hảo. Tôi nhớ thiết lập cấu hình giữ mạng trong ứng dụng khách ssh, vì bộ định tuyến trường học (hoặc proxy, tôi không biết) đã bỏ kết nối không hoạt động sau một thời gian.
Mauro Ciancio

@ yasgur99 Tôi upvoted cho bạn :-)
meduz

5

Nếu bạn sẽ làm điều này, ở mức tối thiểu, xin vui lòng:

  1. Tạo danh sách trắng: Giới hạn quyền truy cập vào cổng 443 từ chỉ các IP đã biết
  2. Vô hiệu hóa đăng nhập Mật khẩu và chỉ sử dụng Khóa SSH

Bạn có thể mở ra nguy hiểm nếu không. Điều gì xảy ra nếu ai đó tìm thấy một lỗi bảo mật cho phép họ tự động đăng nhập khi được nhắc nhở SSH? Danh sách trắng của bạn sẽ làm giảm rủi ro trong tương lai.

Bằng cách vô hiệu hóa đăng nhập mật khẩu vào SSH, nếu một tác nhân xấu trong danh sách trắng quản lý truy cập vào máy chủ của bạn, sẽ khó khăn hơn nhiều để đánh bại một cách.

Đây là vệ sinh an ninh tốt. Nếu bạn là một sinh viên đại học bình thường, cơ hội tấn công có thể thấp, nhưng tại sao lại có một rủi ro không cần thiết?


2
+1 để sử dụng SSH pubkey auth. Nếu bạn đi theo lộ trình danh sách trắng, hãy chắc chắn thực hiện ở cấp tường lửa (ví dụ: iptables), vì vậy trước khi kết nối đạt đến sshd.
marcelm

2

"HTTPS" chỉ là tên của giao thức TLS (Transport Layer Security) khi nó được sử dụng để bảo mật giao thức HTTP bên dưới. Chỉ có các điểm cuối cần quan tâm đến giao thức cơ bản, vì vậy bạn có thể gửi bất kỳ lưu lượng truy cập nào bạn muốn khi bạn đã thiết lập kết nối TLS an toàn, trên bất kỳ cổng nào có sẵn, mà không phải lo lắng về bất kỳ tường lửa, tin tặc, gián điệp nước ngoài nào hoặc cơ quan an ninh giả mạo trong đất nước của bạn.

"SSH" có giao thức riêng, vì vậy nếu bạn chạy ssh trên cổng 443, luôn có khả năng tường lửa hoặc tác nhân rình mò khác phát hiện lưu lượng truy cập không phải là HTTPS (vì nó lệch khỏi TLS) và chặn nó. Giải pháp cho vấn đề này là bọc phiên ssh bên trong giao thức TLS, dễ dàng thực hiện bằng phương tiện của chương trình stunnel. Trên máy chủ, hãy để stunnel lắng nghe trên cổng 443 và chuyển lưu lượng truy cập sang cổng 22. Sau đó, trên máy khách, bạn cần chạy một phiên bản khác của stunnel để nghe một số cổng cục bộ và sau đó chuyển lưu lượng truy cập đến cổng 443 trên máy chủ.


0

Không có vấn đề, tôi đã có nó trên 443 trong một thời gian dài. Tốt rồi. Chỉ có điều là bạn nhận được các mục nhật ký lạ từ các trình duyệt đang cố gắng kết nối với nó, nhưng chúng hoàn toàn vô hại.


0

Điều đáng nói là nó là một sự gian lận. Bạn có thể sử dụng 443 hoặc bất kỳ cổng nào khác mà bạn tiết lộ, sử dụng nmap hoặc một số công cụ khác, nhưng mục đích kết nối SSH đã bị cấm. Điều đó có nghĩa là bạn có thể bị bắt dễ dàng vì bạn sẽ không thực hiện yêu cầu HTTPS, đây là loại giao thức mà cổng nói trên thường bị bỏ ngỏ.

Nói chung, bạn có thể kích hoạt một số giám sát làm điều đó. Đó là một vi phạm bảo mật và phân tích gói tiếp theo sẽ hiển thị thông tin toàn diện về nỗ lực này. Chỉ cần nói.


Chà, sau đó họ nên chặn giao thức (bằng cách kiểm tra giao thức) chứ không phải cổng! Nhưng điều đó có thể đòi hỏi tường lửa có khả năng nhiều hơn họ có. Tôi nghĩ rằng, vì đây là một tổ chức giáo dục, nên có lẽ họ đã thiết lập một danh sách trắng các cổng ra nước ngoài, chắc chắn bao gồm cổng 80 và 443, để ngăn chặn việc sử dụng sai (trước tiên, các ứng dụng P2P xuất hiện) để ngăn chặn hành vi trộm cắp thông tin.
katti
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.