Навіщо використовувати SSH та VPN у поєднанні?

Мій роботодавець вимагає, щоб я спершу увійшов до VPN, і лише після цього я можу SSH на сервери. Але, враховуючи безпеку SSH, чи є надмірне VPN?

Яке використання VPN з точки зору безпеки, якщо я вже використовую SSH ?

Міркування, що стоять за вашим поточним налаштуванням, мабуть, є комбінацією трьох наступних причин.

VPN - це рішення безпеки для мережі компанії (див. № 1 нижче) . SSH, однак, може бути другим рівнем безпеки поза мережею вашої компанії ... але його основна мета полягає в забезпеченні трафіку в мережі вашої компанії (див. №2 нижче) . VPN також необхідний, якщо пристрій, на який ви намагаєтеся отримати SSH, використовує приватну адресу в мережі вашої компанії (див. № 3 нижче) .

1. VPN створює тунель до мережі вашої компанії, через який ви надсилаєте дані. Таким чином, ніхто не бачачи трафіку між вами та мережею вашої компанії, насправді не може побачити, що ви надсилаєте. Все, що вони бачать - це тунель. Це заважає людям, які перебувають за межами мережі компанії, перехоплювати ваш трафік корисним чином.

2. SSH - це зашифрований спосіб підключення до пристроїв у вашій мережі (на відміну від Telnet, що є зрозумілим текстом). Компаніям часто потрібні з'єднання SSH навіть у мережевій мережі для безпеки. Якщо я встановив зловмисне програмне забезпечення на мережевий пристрій, і ви перенесли телефон у цей пристрій (навіть якщо ви проходите через тунель VPN - оскільки тунель VPN зазвичай закінчується по периметру мережі компанії), я можу побачити ваше ім’я користувача та пароль. Якщо це SSH, який ви використовуєте, то я не можу.

3. Якщо ваша компанія використовує приватну адресацію для внутрішньої мережі, то пристрій, до якого ви підключаєтесь, може не працювати через Інтернет. Підключення через тунель VPN було б так, як ви безпосередньо підключені в офісі, тому ви б використовували внутрішню маршрутизацію мережі компанії, яка не була б доступною за межами мережі компанії.

SSH - надзвичайно популярна мішень для грубих спроб. Якщо у вас є SSH-сервер безпосередньо в Інтернеті, протягом декількох хвилин ви побачите спроби входу з усіма видами імен користувачів (і паролів) - часто тисячами на день навіть на невеликих незначних серверах.

Тепер можна посилити SSH-сервери (основні три механізми вимагають SSH-ключа, забороняючи кореневий доступ до SSH та, якщо можливо, обмежуючи IP-адреси, які навіть дозволяють підключатися). І все-таки, найкращий спосіб загартування SSH-сервера - це взагалі не мати його в Інтернеті.

Чому це важливо? Зрештою, SSH є принципово безпечним, правда? Ну, так, але це так само безпечно, як це роблять користувачі - і ваш роботодавець може бути стурбований слабкими паролями та вкраденими ключами SSH.

Додавання VPN додає додатковий рівень захисту, який контролюється на корпоративному рівні, а не на рівні індивідуального сервера, як SSH.

Загалом, я б вдячний вашому роботодавцеві за впровадження тут деяких хороших практик безпеки. За рахунок зручності, звичайно (безпека зазвичай надходить за рахунок зручності).

VPN дозволяє підключитися до приватної мережі роботодавця та отримати IP-адресу цієї приватної мережі. Після підключення до VPN все одно, що ви використовуєте один із комп'ютерів всередині компанії - навіть якщо ви знаходитесь в іншому куточку світу.

Швидше за все, ваш роботодавець вимагає спочатку підключитися через VPN, оскільки сервери недоступні через Інтернет (тобто вони не мають публічної IP-адреси), що є хорошою ідеєю. VPN додає ще один рівень безпеки, так як якщо б сервери були загальнодоступними через SSH, вони були б вразливими для ряду атак.

SSH - це протокол шифрування, який використовується для кількох речей. Шифрування трафіку в тунелі VPN є одним з них. Ваш трафік шифрується за допомогою SSH, але потім його потрібно загорнути у дійсні IP-пакети (тунель), щоб пройти через мережу, як Інтернет. Цей тунель є VPN.

В основному, ваш роботодавець блокує поза мережевий трафік для безпеки, якщо тільки трафік не надходить через VPN, який роботодавець контролює. VPN може або не може шифрувати вміст тунелю. Використання SSH шифрує трафік, що переноситься в тунель VPN.

Вам потрібен VPN для входу в локальну мережу.

Тоді вам не потрібно захищати своє з'єднання з окремими серверами, оскільки воно вже буде зашифровано по VPN-посиланням.

Однак як би ви ще до них підключились? SSH - це фактичний протокол доступу до консолі віддалених серверів; встановлення та налаштування незахищеного буде додатковим накладним керуванням та зниженням безпеки в локальній мережі (що може бути або не бути проблемою).

Не забувайте, що не всі, навіть у межах компанії, матимуть повний доступ до кожного сервера, а можливість використання шифрування на основі ключів навіть у локальній мережі дозволяє вашому адміністратору мережі легко та надійно гарантувати, що лише люди, які нібито знають, що вони навіть у межах компанії дозволяється торкатися сервера.

Ви також можете керувати додатковими шарами безпеки через VPN. Такі як перевірка критеріїв пристрою, двофакторна автентифікація тощо.

Типовим міркуванням є те, що ви хочете максимально зменшити опромінення та можливі вектори атаки.

Якщо ви почнете з передумови, що і SSH, і VPN потрібні (для власних цілей), то обидва зовнішні засоби означають, що зловмисники мають два потенційні маршрути у ваше оточення. Якщо SSH зробити лише локальним, він додасть додатковий рівень безпеці сервера. Розглянемо наступні сценарії:

1. SSH + VPN зовні. Зловмиснику потрібен лише компромісний SSH для компрометації сервера.

2. SSH зовнішній. Функціонально такий же, як і попередній сценарій.

3. VPN зовнішній (внутрішній SSH). Подвійне питання щодо безпеки. Зловмисник повинен пробити обох, перш ніж вони зможуть щось зробити на сервері.

Враховуйте, що поряд з тим, що VPN був би несекретним для інших функцій, він може бути краще налаштований для зовнішнього доступу, і він не має головного мозку.

Я б загрожував, що відповідь полягає просто в тому, що NAT бере участь і (як багато інших заявили), виставляючи кінцевий цільовий сервер світу, запрошує ще одну точку атаки. Якщо ви не здійснюєте великі масові передачі даних великими клавішами, SSH зазвичай не заважає. Вузьким місцем майже завжди буде мережа. (Майже! = Завжди).

Якщо вам пощастило мати IPv6, це, швидше за все, не буде великою проблемою, але з IPv4 та обмеженим адресним простором NAT є (IMO), зрештою, те, що я думаю, стоїть за цією «політикою» більше, ніж будь-яка інша "випадкова" або "цілеспрямована" безпека.

З мого теперішнього розуміння, SSH - оскільки він просто використовує обмін ключами tcp, щоб перевірити, чи користувач-клієнт має правильні облікові дані для доступу до ідентифікатора користувача на сервері, сприйнятливий до людини в середині атак, де міг провайдер або компрометований маршрутизатор. перехоплюйте запит на рукостискання і дійте як той, хто надсилає автентифікацію, фактично захоплюючи з'єднання. Це дозволяє вводити команди в потік, а потім вивід фільтрується до того, як він дістанеться до початкового автентичного клієнта, тим самим приховавши людину в середній ін'єкції довільних команд в оболонку ssh сервера.

Однак тунель VPN дозволяє щось не робити ssh. Додатковий попередньо узгоджений ключ симетричного шифрування. Це означає, що трафіку між двома машинами людина не сприймає при посередній атаці, оскільки трафік, якщо його перехоплюють і пересилають від імені справжнього клієнта з метою управління шаром шифрування ssl, не зможе передати ключ шифрування vpn вимоги, оскільки третя сторона не матиме можливість підробляти ключі vpn так само, як вони зможуть керувати переадресацією середньої людини з'єднання ssh tcp ssl.

Отже, ssh недостатньо хороший, щоб зупинити людину посеред від провайдера або компрометованого маршрутизатора, через який клієнт повинен пройти для підключення до сервера.