Firewire2002
Registered User
Ich war jahrelang auch ein verfechter des Portverlegens. 7 Jahre hats gedauert, dann hatte ich auch regelmäßig SSH-Scans auf dem verlegten Port im 50.000er Bereich. 
Eine Zeitlang habe ich dann einfach auf Source-IPs gefiltert. In Ermangelung einer statischen Source-IP habe ich ganze CIDRs meines Providers erlauben müssen. War aber ziemlich hinderlich, weil man auf Reisen nicht immer vorher rausbekam, welche IP das Hotel/die Pension oder welchen Provider sie nutzen. Mal ganz davon abgesehen, dass das Personal oft versuchte solche Vorabanfragen abzubügeln, nach dem Motto was interessierts dich, nutz es doch einfach wie alle anderen auch.
Mittlerweile bin ich zu Wireguard übergegangen. Ein Wireguard VPN Server ist nicht scanbar. UDP-basiert, entsprechend keine ACK Pakete und der Wireguard Server schickt nur Antwortpakete, wenn man sie mit einem Schlüssel verschlüsselt, dessen Public Key der Server kennt. Ansonsten wirds einfach ignoriert.
Von aussen hat man also keine Ahnung ob man mit einem Wireguard Port spricht oder mit einem Port hinter dem sich überhaupt kein Service befindet und die Pakete einfach gedroppt werden. Keine unschönen Logs über sinnlose Bruteforces und die Wahrscheinlichkeit, dass einer einen Wireguard Key auf einem unbekannten Port bruteforced geht gegen Null.
SSH und ein paar andere Dienste sind so ausschließlich über einen Wireguard Tunnel erreichbar.
Beruflich werden administrative Zugänge einfach hart auf Source IPs gefiltert. Das ist sogar Anforderung von diversen Zertifizierungen und Versicherungen, dass administrative Dienste nicht für jedermann erreichbar sind. Egal auf welchem Port sie betrieben werden.
Eine Zeitlang habe ich dann einfach auf Source-IPs gefiltert. In Ermangelung einer statischen Source-IP habe ich ganze CIDRs meines Providers erlauben müssen. War aber ziemlich hinderlich, weil man auf Reisen nicht immer vorher rausbekam, welche IP das Hotel/die Pension oder welchen Provider sie nutzen. Mal ganz davon abgesehen, dass das Personal oft versuchte solche Vorabanfragen abzubügeln, nach dem Motto was interessierts dich, nutz es doch einfach wie alle anderen auch.
Mittlerweile bin ich zu Wireguard übergegangen. Ein Wireguard VPN Server ist nicht scanbar. UDP-basiert, entsprechend keine ACK Pakete und der Wireguard Server schickt nur Antwortpakete, wenn man sie mit einem Schlüssel verschlüsselt, dessen Public Key der Server kennt. Ansonsten wirds einfach ignoriert.
Von aussen hat man also keine Ahnung ob man mit einem Wireguard Port spricht oder mit einem Port hinter dem sich überhaupt kein Service befindet und die Pakete einfach gedroppt werden. Keine unschönen Logs über sinnlose Bruteforces und die Wahrscheinlichkeit, dass einer einen Wireguard Key auf einem unbekannten Port bruteforced geht gegen Null.
SSH und ein paar andere Dienste sind so ausschließlich über einen Wireguard Tunnel erreichbar.
Beruflich werden administrative Zugänge einfach hart auf Source IPs gefiltert. Das ist sogar Anforderung von diversen Zertifizierungen und Versicherungen, dass administrative Dienste nicht für jedermann erreichbar sind. Egal auf welchem Port sie betrieben werden.