Aunque ayuda utilizar llaves previamente compartidas o certificados con SSH, aún existe un puerto abierto desde Internet. Un puerto abierto sigue siendo un riesgo para la seguridad, incluso si se implementan protecciones adicionales. La mejor opción es no tener puertos abiertos desde internet. La reacción inicial es cerrar todos los puertos abiertos, pero el router necesita ser accedible remotamente, y no puede accederse a este remotamente si no existe un puerto abierto. Esto en realidad no es cierto. El truco está en muchas organizaciones tienen un servidor VPN en una DMZ detrás del router. Por lo tanto la solución es acceder hacia la organización mediante una VPN, y luego desde la VPN conectarse hacia un puerto abierto en la interfaz interna del router. Esto proporciona una solución sencilla para los administradores y hace la vida más difícil para el ciberatacante.
El beneficio añadido es permite una detección temprana, pues la mayoría de los servidores VPN registran eventos, mientras la mayoría de routers no. Ahora si todo el acceso se realiza a través de un servidor VPN controlado con registro y vigilancia completo, incluso si un ciberatacante intenta acceder, existe mayor probabilidad de detección.
Fuentes:
https://www.cisco.com/c/en/us/support/docs/security-vpn/secure-shell-ss…
https://community.cisco.com/t5/routing/port-forward-ssh-to-internal-net…