У меня есть следующие настройки:

У меня есть сервер, использующий XEN для запуска нескольких виртуальных машин. Все они подключены к различным (виртуальным или физическим) сетям. У меня есть интернет (плохие парни), сеть DMZ и внутренняя сеть (только хорошие парни). Я разделяю сети (виртуальными) маршрутизаторами, которые предотвращают неавторизованный трафик.

Теперь я хочу иметь доступ ко всем машинам через SSH как из локальной сети, так и из Интернета, если необходимо выполнить удаленный ремонт. Из интернета все SSH-доступ перенаправляется на машину в DMZ. Теперь я могу сделать две разные вещи:

  1. Получите ключи от всех машин на моем ноутбуке (где-то в Интернете), а затем подключитесь к машине SSH. Я строю туннель к внутреннему маршрутизатору, и через него я могу получить доступ к внутренней сети.
  2. Держите ключ к моей SSH-машине на ноутбуке и переходите от машины к машине через виртуальную сеть. Таким образом, ключ для маршрутизатора находится на машине SSH и так далее.

Мое собственное предложение состояло в том, чтобы использовать вариант 1 плюс возможность построить оттуда туннель к каждому ПК в DMZ/LAN/VPN (iptables активен в данный момент).

Как бы вы это сделали? Каковы ваши предложения? Есть ли даже лучшее решение?

1 ответ1

0

Примечание: это мое личное мнение как человека, заинтересованного в безопасности. Я не эксперт, и не имею никакой квалификации под моим именем.

Возможный риск безопасности:
Я полагаю, что наличие SSH-сервера DMZ-ed представляет собой угрозу безопасности, так как сервер DMZ-ed означает, что брандмауэр просто пропустит любую неизвестную / не явно заблокированную попытку подключения к этому серверу, что означает, что сервер подвержен проверке, и в худшем случае, атака.

Рекомендация № 1
Рассматривали ли вы наличие VPN-сервера в вашей локальной сети? Таким образом, вы можете удалить DMZ и по-прежнему осуществлять доступ за локальной сетью через защищенный туннель с VPN.

Pro: VPN позволяет защищенное, зашифрованное соединение из Интернета в вашу локальную сеть. Если у вас есть VPN, вам не понадобится DMZ - это означает, что он будет более безопасным для вас.

Недостаток: VPN-сервер может быть сложен в настройке или требует денег для настройки, а также добавляет еще один уровень сложности для управления ИТ.

И хранить все яйца в одной корзине (все ваши защищенные ключи SSH на вашем ноутбуке) - не совсем лучший способ (сценарий: если вы потеряете свой ноутбук), но вы всегда можете использовать полное шифрование диска с TrueCrypt или другим программным обеспечением, так что если Ваш ноутбук когда-либо оставит вашу руку, по крайней мере, ваши данные будут полностью зашифрованы, и никакие плохие парни не смогут попытаться злоупотребить этими данными.

Если у вас нет ресурсов / времени для инвестирования в VPN - Если у вас есть какой-либо существующий блок NAS (Synology, QNAP или другой марки), у них может быть VPN-сервер в качестве модуля, который вы можете загрузить для очень простой установки и настройки. (это верно для Synology, которой я владел и лично проверял).

Рекомендация № 2
Или если VPN действительно невозможен (по какой-либо причине) - тогда, возможно, рассмотрите возможность удаленной поддержки программного обеспечения?
(GotoAssist, TeamViewer, Logmein, чтобы назвать несколько).
Установите клиент на компьютере, которому вы доверяете, внутри вашей локальной сети, и просто подключитесь к нему через Интернет. И затем, используя эту машину в качестве отправной точки, вы можете использовать SSH везде, как будто вы сидите перед машиной внутри вашей локальной сети.

Pro: вы можете хранить ваши ключи SSH на ПК внутри вашей локальной сети. Защищено вашим корпоративным брандмауэром. Против: Требуется программное обеспечение сторонних производителей, чтобы разрешить подключение из Интернета к вашей локальной сети. И программное обеспечение может стоить денег.

Личный опыт: TeamViewer определенно очень прост в использовании и бесплатен для личного использования. Кроме того, TeamViewer имеет возможность подключения через VPN (К сожалению, я лично не проверял это, но я видел возможность установить драйвер VPN) - дополнительное преимущество защиты вашего соединения.

Надеюсь это поможет.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .