Ghost server
Security ideje: #1 (‘Ghost server’)
SSH se moze zastiti skoro potpuno od izlozenosti internetu ukoliko postavite u podesavanjima da SSH server slusa na lokalnoj adresi. Sta? Kako? Zasto? Ideja je jednostavna:
- Napraviti VPN kao sto je Wireguard (UDP) – ovo je naglaseno zato sto nmap skenom se ne moze utvrditi da li je na nekom UDP portu zaista neki servis pokrenut ili nije zato sto UDP ne potvrdjuje da je paket stigao, tj. ne odgovara na ping ili poslati paket.
- Wireguard klijentima dodeljuje interne/lokalne/privatne IP adrese recimo iz opsega 10.10.10.0/24.
- SSH server moze da slusa na 10.10.10.1 internoj IP adresi na portu 22 Na ovaj nacin, korisnici se sa svojih racunara prvo povezu na VPN i njihov racunar dobije adresu unutar 10.10.10.0/24 mreze, recimo 10.10.10.2 i onda se unutar VPN tunela moze povezati na SSH koji je na 10.10.10.1 adresi na portu 22.
Benefiti: Napadac ne moze da skenira SSH i otkrije ga i pokusa ga napasti. Konekcija je dvostruko zasticena. Potrebno je manje napora uloziti oko zastite servera i SSH servisa, nadgledanje logova i azuriranja. VPN tunel cak ne mora biti tzv. Puni tunel, i mozete rutirati samo saobracaj koji je za 10.10.10.0/24 kroz VPN tunel, a ostali saobracaj van tunela kao kada niste povezani na VPN – to je tzv Split-tunnel
Nedostatci: Ukoliko pukne VPN ne moze te povezati na server (osim ako server nije na VPS pa imate WEB emergency konzolu ili IPMI/ILO/IDRAC port ka serveru povezan i podesen).
##Sta se vidi na klijentu:
client wg connwction, network and status
wg client conf
client ping ssh server in WG tunnel and ssh connection to it
##Kako je server konfigurisan:
wg server config
ssh server conf
wg server connections and status
fw status on server
##Nmap scan
nmap scan of WG server port
nmap cannot tell the difference between UPD port that has real service running behind, and the one that doesn't. Even more UDP cannot tell if port is open or not, Firewalled or not.