¿Debo usar la función de reenvío de puertos de mi firewall o hacer que mis servicios escuchen en puertos alternativos?

0

Tengo un VPS con el que ejecuto mi propio servidor de correo electrónico en el éter de Internet al que tengo acceso SSH. Mi registro muestra que recibo aproximadamente 500 intentos fallidos de conexiones por día, por lo que me gustaría cerrar el puerto SSH predeterminado y abrir una alternativa y me gustaría acceder a mi servicio SMTP desde un puerto adicional ya que mi ISP bloquea el puerto 25 .

El servidor es Debain Squeeze que ejecuta Postfix y OpenSSH y usa Shorewall como firewall.

Suponiendo que lo anterior se considera una buena práctica (de lo contrario, avíseme sobre cómo debo lograr mis objetivos), ¿debo usar el reenvío de puertos en mi firewall o hacer que los servicios se ejecuten en puertos alternativos y abrir / bloquear los puertos apropiados usando el firewall? Específicamente me gustaría saber por qué se prefiere un método sobre el otro.

firewall services port-forwarding port Hugh Powell
fuente
Sugeriría fail2ban para los intentos de ataque de fuerza bruta SSH
Journeyman Geek

Respuestas:

0

Puertos alternativos

Los servicios se pueden ejecutar por varias razones (tanto buenas como malas). Las buenas razones típicas son:

  • ejecutar el servicio en un puerto no privilegiado
  • evitar el filtrado de puertos inconveniente
  • modificación del servicio de modo que no tenga un comportamiento típico

Reenvío de puertos

El reenvío de puertos generalmente se realiza como una medida de seguridad donde el filtrado de puertos no es (o al menos no debería serlo). El filtrado de puertos también se ejecuta generalmente con un firewall separado del servicio, generalmente haciendo que el firewall se ejecute en un servidor separado. Esto ayuda a contener (limitar) algunas de las posibles vulnerabilidades de la ejecución del servicio. Razones para el filtrado de puertos:

  • seguridad
  • separación de servicio / servidor
dietbuddha
fuente
0

Cambiaría los puertos en los servicios mismos.

Para sshd, esto es fácil, simplemente modifique / etc / ssh / sshd_config y cambie la Portdirectiva. Asegúrese de tener una forma alternativa de entrar en caso de que algo salga mal.

Para el postfix, dependiendo de su situación, es probable que desee habilitar un puerto adicional para escuchar en lugar de reemplazar el puerto 25 (ya que el servidor entrante al servidor se detendrá si no tiene 25 abiertos). Edite master.cf, busque la smtpdlínea y agregue una línea adicional para el puerto en el que desea escuchar (2525 en este ejemplo):

  25      inet  n     -     n     -     -     smtpd
2525      inet  n     -     n     -     -     smtpd

Además, considere cambiar a un ISP que no bloquee los puertos sin la posibilidad de darse de baja.

La principal ventaja de hacerlo de esta manera es la complejidad reducida: desea que los servicios escuchen estos puertos y la introducción de otro componente (iptables) para que lo haga por usted aumenta la complejidad. Yo diría que mantener las cosas simples es una prioridad en la lista para tomar este tipo de decisiones.

Pablo
fuente
Gracias por la rápida respuesta, ¿qué ventajas considera que también hay en cambiar los puertos en los servicios?
Hugh Powell el
¡Vaya! Me perdí el aspecto principal de la pregunta. He actualizado.
Paul
0

Tendría que sugerir cambiar los puertos en el firewall en lugar de los servicios: si elige cambiar otros puertos o servidores, solo necesitará migrar la regla del firewall en lugar de perseguir media docena de configuraciones diferentes.

Journeyman Geek
fuente