Em estudos de tráfego uma das principais atividades dos atacantes é montar uma varredura à procura de portas SSH abertas em servidores, geralmente seguidos de ataques de força bruta. Pensando em se proteger muitas pessoas trocam a porta de serviço SSH, geralmente por uma “variante lógica” da original, algo como 222 ou 2222.
Mesmo movendo os serviços para portas diferentes das padrões, o serviço pode ser encontrado. Se a sua empresa está sendo alvo, levará alguns minutos para configurar uma varredura de todas as portas em uma faixa de IP’s e esta haverá terminado em uma hora. Por mais que esta varredura seja lenta, provavelmente será feita em no máximo um ou dois dias. Mover seu serviço aberto para uma porta não padrão não é uma proteção quando se é alvo de um ataque.
Caso não consideremos absolutamente necessário ter um serviço público, simplesmente feche a porta. E se esse serviço seja necessário uma opção de segurança é colocá-lo em uma VPN, onde somente pessoas autorizadas terão acesso a ele. Na maioria dos casos não é fundamental que a porta SSH (seja ela qual for) esteja aberta à internet. Restringindo o acesso a uma lista de IP’s confiáveis, ou colocar o serviço atrás de uma VPN são opções de segurança.
Veja mais informações através do site da ISC.