Em estudos de tráfego uma das principais atividades dos atacantes é montar uma varredura à procura de portas SSH abertas em servidores, geralmente seguidos de ataques de força bruta.  Pensando em se proteger muitas pessoas trocam a porta de serviço SSH, geralmente  por uma “variante lógica” da original, algo como 222 ou 2222.

Mesmo movendo os serviços para portas diferentes das padrões, o serviço pode ser  encontrado. Se a sua empresa está sendo alvo, levará alguns minutos para  configurar uma varredura de todas as portas em uma faixa de IP’s e esta haverá  terminado em uma hora. Por mais que esta varredura seja lenta, provavelmente será  feita em no máximo um ou dois dias. Mover seu serviço aberto para uma porta não  padrão não é uma proteção quando se é alvo de um ataque.

Caso não consideremos absolutamente necessário ter um serviço público, simplesmente feche a porta. E se esse serviço seja necessário uma opção de segurança é colocá-lo em uma VPN, onde somente pessoas autorizadas terão acesso a ele. Na maioria dos casos não é fundamental que a porta SSH (seja ela qual for) esteja aberta à internet. Restringindo o acesso a uma lista de IP’s confiáveis, ou colocar o serviço atrás de uma VPN são opções de segurança.

Veja mais informações através do site da ISC.