Який найкращий спосіб забезпечити безпеку в багатьох мережах?

0

У мене є така настройка:

У мене є сервер, що використовує XEN для запуску декількох віртуальних машин. Усі вони підключені до різних (віртуальних чи фізичних) мереж. У мене є Інтернет (погані хлопці), мережа DMZ та внутрішня мережа (тільки хороші хлопці). Мережі я відокремлюю від (віртуальних) маршрутизаторів, які запобігають зупинці несанкціонованого трафіку.

Тепер я хочу мати доступ до всіх машин через SSH як з внутрішньої мережі, так і з Інтернету, якщо це потрібно, щоб зробити деякий віддалений ремонт. З Інтернету всі SSH-доступу переспрямовуються на машину в DMZ. Тепер я міг би зробити звідти дві речі різного типу:

  1. Мати ключі від усіх машин на моєму ноутбуці (десь в Інтернеті), а потім підключитися до машини SSH. Я будую тунель до внутрішнього маршрутизатора і через нього я можу отримати доступ до внутрішньої мережі.
  2. Майте ключ від моєї машини SSH на ноутбуці та переходьте від машини до машини через віртуальну мережу. Отже ключ для роутера знаходиться на машині SSH тощо.

Моя власна пропозиція полягала в тому, щоб використовувати варіант 1 плюс можливість побудувати тунель звідти на кожному ПК в DMZ / LAN / VPN (iptables активні на даний момент).

Як би ти це зробив? Які ваші пропозиції? Чи є навіть краще рішення?

networking  ssh  security 
Крістіан Вовк
джерело

Відповіді:

0

Примітка. Це моя особиста думка, як хтось зацікавлений у безпеці. Я не є експертом і не маю жодної кваліфікації під моїм іменем.

Можливий ризик безпеки:
я вважаю, що наявність у вас SSH-сервера DMZ є ризиком для безпеки, оскільки сервер DMZ-ed означає, що брандмауер просто передасть будь-яку невідому / не явно заблоковану спробу підключення до цього сервера, що означає, що сервер схильний до зондування, і в гіршому випадку - атака.

Рекомендація №1.
Чи розглядали ви наявність VPN-сервера у вашій локальній мережі? Таким чином ви можете видалити DMZ та все ще отримати доступ до своєї локальної мережі через захищений тунель з VPN.

Pro : VPN дозволяє захистити, зашифроване з'єднання з Інтернету до вашої локальної мережі. Якщо у вас є VPN, вам не знадобиться DMZ - це означає, що сподіваємось, він буде більш безпечним для вас.

Con : VPN-сервер може бути важким у налаштуванні або вимагати грошей для налаштування та додавання ще одного рівня складності для управління ІТ.

І мати всі свої яйця в 1 кошику (усі ваші захищені SSH ключі у своєму ноутбуці) - це не найкращий спосіб (сценарій: Якщо ви втратите ноутбук) - але ви завжди можете мати повне шифрування диска за допомогою TrueCrypt або іншого програмного забезпечення, так що якщо ваш ноутбук коли-небудь залишить вашу руку, принаймні ваші дані будуть повністю зашифровані, і жоден поганий хлопець не може намагатися зловживати цими даними.

Якщо у вас немає ресурсів / часу інвестувати гроші в VPN - Якщо у вас є наявна коробка NAS (Synology, QNAP або інша марка), вони можуть мати VPN-сервер як модуль, який ви можете завантажити для дуже простої установки та налаштування. (це справедливо для Synology, якою я володів і особисто перевіряв).

Рекомендація №2
Або якщо VPN справді неможливий (з будь-якої причини) - то, можливо, розглянемо програмне забезпечення віддаленої підтримки?
(GotoAssist, TeamViewer, Logmein).
Встановіть клієнта на машину, якій ви довіряєте всередині вашої локальної мережі, і просто підключіться до цього апарату з Інтернету. А потім, використовуючи цю машину як точку стрибка, ви можете SSH скрізь, немов ви сидите перед машиною всередині вашої локальної мережі.

Про : Ви можете зберігати свої SSH-ключі на ПК всередині вашої локальної мережі. Забезпечено за корпоративної брандмауером. Con : Програмне забезпечення сторонніх розробників необхідне, щоб дозволити підключення з Інтернету до вашої локальної мережі. А програмне забезпечення може коштувати грошей.

Особистий досвід: TeamViewer, безумовно, дуже простий у використанні та безкоштовний для особистого використання. А також TeamViewer має можливість підключитися через VPN (на жаль, я особисто не перевіряв це, але я бачив можливість встановити драйвер VPN) - додала перевагу в забезпеченні вашого зв'язку.

Сподіваюсь, це допомагає.

Дарій
джерело
Гаразд, у DMZ ще є VPN. Але це, як правило, не вдається (забути оновити сертифікати на оновлення). На жаль, я не розумію вашої точки зору в першій частині: у мене різні віртуальні машини для Apache, SSH, VPN тощо. Доступ до порту 22 отримує NATED на SSH-сервер (як і інші порти отримують NATED до місця призначення). За винятком спроб SSH, SSH ніколи не буде доступним. Тож я не розумію, вибачте.
Крістіан Вольф
@ChristianWolf Моє розуміння, що якщо сервер встановлений як ціль DMZ, будь-яке вхідне з'єднання з портом, у якого брандмауер не має відомого переадресації, просто переадресує з'єднання до сервера DMZ, і сервер DMZ повинен буде обробляти вхідне з'єднання (на основі на правилах брандмауера сервера DMZ) - отже, чому моя думка про сервер DMZ може зазнати / атакувати. Крім того, ви розглядали подвійний SSH? тобто. SSH на DMZ-сервер, а потім SSH для всіх інших служб (подібно до рішення №1), але це означає, що ваш DMZ-сервер повинен приймати SSH та схильний до атаки.
Дарій
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.