Примечание: это мое личное мнение как человека, заинтересованного в безопасности. Я не эксперт, и не имею никакой квалификации под моим именем.
Возможный риск безопасности:
Я полагаю, что наличие SSH-сервера DMZ-ed представляет собой угрозу безопасности, так как сервер DMZ-ed означает, что брандмауэр просто пропустит любую неизвестную / не явно заблокированную попытку подключения к этому серверу, что означает, что сервер подвержен проверке, и в худшем случае, атака.
Рекомендация № 1
Рассматривали ли вы наличие VPN-сервера в вашей локальной сети? Таким образом, вы можете удалить DMZ и по-прежнему осуществлять доступ за локальной сетью через защищенный туннель с VPN.
Pro: VPN позволяет защищенное, зашифрованное соединение из Интернета в вашу локальную сеть. Если у вас есть VPN, вам не понадобится DMZ - это означает, что он будет более безопасным для вас.
Недостаток: VPN-сервер может быть сложен в настройке или требует денег для настройки, а также добавляет еще один уровень сложности для управления ИТ.
И хранить все яйца в одной корзине (все ваши защищенные ключи SSH на вашем ноутбуке) - не совсем лучший способ (сценарий: если вы потеряете свой ноутбук), но вы всегда можете использовать полное шифрование диска с TrueCrypt или другим программным обеспечением, так что если Ваш ноутбук когда-либо оставит вашу руку, по крайней мере, ваши данные будут полностью зашифрованы, и никакие плохие парни не смогут попытаться злоупотребить этими данными.
Если у вас нет ресурсов / времени для инвестирования в VPN - Если у вас есть какой-либо существующий блок NAS (Synology, QNAP или другой марки), у них может быть VPN-сервер в качестве модуля, который вы можете загрузить для очень простой установки и настройки. (это верно для Synology, которой я владел и лично проверял).
Рекомендация № 2
Или если VPN действительно невозможен (по какой-либо причине) - тогда, возможно, рассмотрите возможность удаленной поддержки программного обеспечения?
(GotoAssist, TeamViewer, Logmein, чтобы назвать несколько).
Установите клиент на компьютере, которому вы доверяете, внутри вашей локальной сети, и просто подключитесь к нему через Интернет. И затем, используя эту машину в качестве отправной точки, вы можете использовать SSH везде, как будто вы сидите перед машиной внутри вашей локальной сети.
Pro: вы можете хранить ваши ключи SSH на ПК внутри вашей локальной сети. Защищено вашим корпоративным брандмауэром.
Против: Требуется программное обеспечение сторонних производителей, чтобы разрешить подключение из Интернета к вашей локальной сети. И программное обеспечение может стоить денег.
Личный опыт: TeamViewer определенно очень прост в использовании и бесплатен для личного использования. Кроме того, TeamViewer имеет возможность подключения через VPN (К сожалению, я лично не проверял это, но я видел возможность установить драйвер VPN) - дополнительное преимущество защиты вашего соединения.
Надеюсь это поможет.
