Зачем использовать SSH и VPN в комбинации?

Мой работодатель требует, чтобы я сначала подключился к VPN, и только тогда я могу использовать SSH на серверах. Но, учитывая безопасность SSH, это перенапряжение VPN?

Что такое использование VPN с точки зрения безопасности, если я уже уже использую SSH ?

22 голоса | спросил JavaDeveloper 1 72015vEurope/Moscow11bEurope/MoscowSun, 01 Nov 2015 19:09:59 +0300 2015, 19:09:59

8 ответов


33

Причины вашей текущей настройки, вероятно, связаны с тремя причинами.

VPN - это решение для безопасности за пределами сети вашей компании (см. № 1 ниже) . Однако SSH может быть вторым уровнем безопасности за пределами сети вашей компании ... но его основная цель - обеспечить безопасность трафика в сети вашей компании (см. Ниже # 2) . VPN также требуется, если устройство, к которому вы пытаетесь подключиться к SSH, использует частный адрес в сети ваших компаний (см. Ниже). .

  1. VPN создает туннель в вашей сети компании, через которую вы передаете данные. Таким образом, никто, видящий трафик между вами и вашей компанией, не может фактически увидеть, что вы отправляете. Все, что они видят, это туннель. Это позволяет людям, находящимся за пределами сети компании, перехватить ваш трафик таким образом, который будет полезен.

  2. SSH - это зашифрованный способ подключения к устройствам в вашей сети (в отличие от Telnet, который является четким текстом). Компании часто требуют SSH-соединений даже в сети компаний ради безопасности. Если я установил вредоносное ПО на сетевое устройство и telnet на этом устройстве (даже если вы проходите через туннель VPN), поскольку туннель VPN обычно заканчивается по периметру сети компании, я может видеть ваше имя пользователя и пароль. Если это SSH, который вы используете, я не могу.

  3. Если ваша компания использует приватную адресацию для внутренней сети, то подключенное устройство не может быть маршрутизировано через Интернет. Подключение через VPN-туннель будет таким, как вы напрямую подключены в офисе, поэтому вы бы использовали внутреннюю маршрутизацию сети компании, которая не была бы доступна за пределами сети компании.

ответил NetRay 1 72015vEurope/Moscow11bEurope/MoscowSun, 01 Nov 2015 22:23:15 +0300 2015, 22:23:15
21

SSH - чрезвычайно популярная цель для попыток грубого принуждения. Если у вас есть SSH-сервер непосредственно в Интернете, в течение нескольких минут вы увидите попытки входа со всеми типами имен пользователей (и паролей) - часто тысячи в день даже на небольших незначительных серверах.

Теперь можно закрепить SSH-серверы (для основных трех механизмов требуется ключ SSH, запрет доступа root к SSH и, если возможно, ограничение IP-адресов, которые даже разрешены для подключения). Тем не менее, лучший способ упрощения SSH-сервера - даже не иметь его в Интернете вообще.

Почему это имеет значение? В конце концов, SSH принципиально безопасна, не так ли? Да, но это безопасно, как это делают пользователи, и ваш работодатель вполне может быть обеспокоен слабыми паролями и кражами ключей SSH.

Добавление VPN добавляет дополнительный уровень защиты, который контролируется на корпоративном уровне, а не на уровне отдельного сервера, как SSH.

В целом, я хотел бы поблагодарить вашего работодателя за реализацию некоторых хороших методов безопасности здесь. Разумеется, за счет удобства (безопасность обычно приходит за счет удобства).

ответил Kevin Keane 1 72015vEurope/Moscow11bEurope/MoscowSun, 01 Nov 2015 23:35:37 +0300 2015, 23:35:37
7

VPN позволяет подключиться к частной сети вашего работодателя и получить IP-адрес этой частной сети. Как только вы подключитесь к VPN, это похоже на то, что вы используете один из компьютеров внутри компании - даже если вы физически расположены на другой стороне мира.

Скорее всего, ваш работодатель требует, чтобы вы сначала подключались через VPN, потому что серверы недоступны из Интернета (т. е. у них нет общедоступного IP-адреса), что является хорошей идеей. VPN добавляет еще один уровень безопасности, как если бы серверы были общедоступны через SSH, они были бы уязвимы для целого ряда атак.

ответил dr01 1 72015vEurope/Moscow11bEurope/MoscowSun, 01 Nov 2015 21:04:03 +0300 2015, 21:04:03
4

SSH - это протокол шифрования, используемый для нескольких вещей. Шифрование трафика в туннеле VPN является одним из них. Ваш трафик зашифровывается с использованием SSH, но затем его необходимо обернуть в действительные IP-пакеты (туннель), чтобы пересечь сеть, такую ​​как Интернет. Этот туннель является VPN.

В принципе, ваш работодатель блокирует внешний сетевой трафик для обеспечения безопасности, если только этот трафик не проходит через VPN, который контролирует работодатель. VPN может или не может шифровать содержимое туннеля. Использование SSH будет шифровать трафик, переносимый в туннеле VPN.

ответил Ron Maupin 1 72015vEurope/Moscow11bEurope/MoscowSun, 01 Nov 2015 19:42:51 +0300 2015, 19:42:51
4

Вам нужна VPN для доступа в локальную сеть.

Вам не требуется , чтобы защитить ваше соединение с отдельными серверами, поскольку оно уже будет зашифровано по ссылке VPN.

Однако, как еще вы могли бы с ними связаться? SSH является протоколом доступа к консольному протоколу de facto для удаленных серверов; установка и настройка небезопасного будет дополнительными издержками управления и уменьшит безопасность внутри локальной сети (что может быть или не быть проблемой).

Не забывайте, что не все, даже внутри компании, будут иметь полный доступ к каждому серверу, а возможность использования шифрования на основе ключей даже в локальной сети позволяет сетевому администратору легко и безопасно обеспечить, чтобы только люди, которые якобы знать, что они делают, даже внутри компании, разрешено прикасаться к серверу.

ответил Lightness Races in Orbit 1 72015vEurope/Moscow11bEurope/MoscowSun, 01 Nov 2015 23:31:59 +0300 2015, 23:31:59
4

Вы также можете управлять дополнительными уровнями безопасности через VPN. Такие, как проверки критериев устройства, двухфакторная аутентификация и т. Д.

ответил chefz 2 12015vEurope/Moscow11bEurope/MoscowMon, 02 Nov 2015 00:49:19 +0300 2015, 00:49:19
2

Типичная аргументация заключается в том, что вы хотите как можно больше уменьшить экспозицию и возможные векторы атаки.

Если вы исходите из предпосылки, что необходимы SSH и VPN (для их собственных целей), тогда обе стороны с внешней стороны означают, что злоумышленники имеют два потенциальных маршрута в вашу среду. Если вы сделаете SSH только для локального, он добавит дополнительный уровень безопасности сервера. Рассмотрим следующие сценарии:

  1. SSH + VPN извне. Атакующий должен только компрометировать SSH, чтобы скомпрометировать сервер.

  2. SSH внешний. Функционально аналогично предыдущему сценарию.

  3. Внешний VPN (внутренний SSH). Удваивает безопасность. Атакующий должен прорваться через оба, прежде чем они смогут что-либо сделать на сервере.

Считайте, что наряду с тем, что VPN будет незаменим для других функций и может быть лучше сконфигурирован для внешнего доступа, и это без проблем.

ответил Jozef Woods 2 12015vEurope/Moscow11bEurope/MoscowMon, 02 Nov 2015 17:00:50 +0300 2015, 17:00:50
0

Я бы рискнул, что ответ просто заключается в том, что NAT задействован и (как многие другие заявили), раскрывая конечный целевой сервер миру, приглашает другую точку атаки. Если вы не выполняете большие передачи данных с большими ключами, SSH обычно не мешает. Узкое место почти всегда будет сетью. (Почти! = Всегда).

Если вам «повезло» достаточно, чтобы иметь IPv6, это вряд ли будет такой же проблемой, но с IPv4 и ограниченным адресным пространством, доступным NAT (IMO), в конечном итоге, я думаю, что за этой «политикой» больше чем любая другая «случайная» или «целенаправленная» безопасность.

ответил ErnieE 3 22015vEurope/Moscow11bEurope/MoscowTue, 03 Nov 2015 18:31:26 +0300 2015, 18:31:26

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132