Neden SSH ve VPN'i birlikte kullanmalı?


24

İşverenim önce bir VPN'de oturum açmamı istiyor ve ancak o zaman sunuculara SSH gönderebiliyorum. Ancak, SSH'nin güvenliği göz önüne alındığında, bir VPN overkill mi?

Zaten SSH kullanıyorsam , VPN'in güvenlik açısından kullanımı nedir ?


2
Muhtemelen var onsuz - VPN daha geniş bir kapsama sahip olacak hiçbir şirket ağı içindeki erişimi hiç .
user253751

2
Ben gerçekten bir neden kabul etmiyorum olarak biraz karışık değilim değil bazı deli nedenle bir türlü müsait değil sürece SSH kullanmak için.
Shadur

1
@Shadur: Q'da kabul edilen seçenekler: 1) VPN + SSH, 2) sadece SSH, ancak NOT 3) yalnızca VPN. OP'nin karşısına çıkan seçimler SSH'yi içerir.
RedGrittyBrick

Eğer LAN'ları IPSEC kullanıyorsa, o zaman kullanabileceğinizi farz ediyorumrsh
Neil McGuigan

Yanıtlar:


36

Şu anki kurulumunuzun arkasındaki sebep muhtemelen aşağıdaki üç nedenin bir birleşimidir.

VPN, şirket ağınızın dışına yönelik bir güvenlik çözümüdür (Aşağıdaki # 1'e bakınız) . Bununla birlikte SSH, şirket ağınızın dışında ikinci bir güvenlik katmanı olabilir ... ancak asıl amacı şirket ağınızdaki trafiği güvence altına almaktır (Aşağıda # 2'ye bakınız) . SSH’ye girmeye çalıştığınız cihaz şirket ağınızda özel bir adres kullanıyorsa da VPN gerekir (Aşağıdaki # 3’e bakınız) .

  1. VPN, verileri yönlendirdiğiniz şirket ağınıza tüneli oluşturur. Böylece siz ve şirketinizin ağı arasındaki trafiği gören hiç kimse gerçekte ne gönderdiğinizi göremez. Tek gördükleri tünel. Bu, şirket ağı dışındaki kişilerin trafiğinizi yararlı bir şekilde ele geçirmelerini önler.

  2. SSH, ağınızdaki cihazlara (şifreli metin olan Telnet’in aksine) bağlanmanın şifreli bir yoludur. Şirketler genellikle güvenlik amacıyla bir şirket ağında bile SSH bağlantısı gerektirir. Bir ağ cihazına kötü amaçlı yazılım yüklediyseniz ve bu cihaza telnet yapıyorsanız (VPN tünelinden gelseniz bile - VPN tüneli genellikle bir şirketin ağının çevresinde sona erdiğinde), kullanıcı adınızı ve şifrenizi görebilirim. Kullandığınız SSH ise, o zaman yapamam.

  3. Şirketiniz dahili ağ için özel adres kullanıyorsa, bağlandığınız cihaz internet üzerinden dolaştırılamayabilir. Bir VPN tüneli üzerinden bağlanmak, doğrudan ofise bağlanmış gibisiniz, bu nedenle şirket ağının dışından erişilemeyecek olan şirket ağının iç yönlendirmesini kullanırsınız.


6
Kötü amaçlı yazılım hedef aygıttaysa, SSH, telnet ile karşılaştırıldığında gerçekten yardımcı olmuyor. (Kötü amaçlı yazılım ağdaki diğer cihazlarda ise yardımcı olur.)
Paŭlo Ebermann

21

SSH kaba kabadayı teşebbüsleri için son derece popüler bir hedef. Doğrudan İnternet üzerinde bir SSH sunucunuz varsa, birkaç dakika içinde, küçük önemsiz sunucularda bile, her gün kullanıcı adlarıyla (ve parolalarla) oturum açma girişimlerini görürsünüz.

Şimdi SSH sunucularını sertleştirmek mümkündür (ana üç mekanizma bir SSH anahtarı gerektirir, SSH'ye kök erişimini reddeder ve mümkünse bağlanmasına izin verilen IP adreslerini kısıtlar). Yine de, bir SSH sunucusunu sertleştirmenin en iyi yolu, internette bile bulunmamasıdır.

Neden fark eder? Sonuçta, SSH temel olarak güvenlidir, değil mi? Evet, ama bu kullanıcılar kadar güvenlidir - ve işvereniniz zayıf şifrelerden ve SSH anahtarlarının çalınmasından endişelenebilir.

Bir VPN eklemek, SSH gibi bireysel sunucu düzeyinde değil, kurumsal düzeyde kontrol edilen ekstra bir savunma katmanı ekler.

Sonuç olarak, işvereninize burada bazı iyi güvenlik uygulamalarını yerine getirmesi için teşekkür ederim. Elbette kolaylık pahasına (güvenlik genellikle kolaylık pahasına gelir).


4
# 4 numaralı mekanizmaya fail2ban denir ve kullanılmasını şiddetle tavsiye ederim.
Shadur

Mükemmel nokta Başka bir benzer araç da intiharlardır. Bir yandan not olarak, fail2ban’ın bazı sürümlerinde bir saldırganın keyfi ana bilgisayarları engellemesine neden olan bir güvenlik açığı bulunmaktadır - temel olarak, bu sürümler hizmet reddi saldırısı için vektör olarak kullanılabilir.
Kevin Keane,

7

VPN, işvereninizin özel ağına bağlanmanıza ve bu özel ağın bir IP adresini almanıza izin verir. VPN'e bağlandıktan sonra, fiziksel olarak dünyanın diğer tarafına yerleştirilmiş olsanız bile, şirket içindeki bilgisayarlardan birini kullanıyor gibisiniz.

Büyük olasılıkla, işvereniniz, VPN üzerinden bağlanmanızı gerektirir; çünkü sunuculara Internet'ten erişilemez (yani, genel bir IP adresi yoktur), bu iyi bir fikirdir. VPN başka bir güvenlik katmanı ekler; sanki sunucular SSH üzerinden halka açık olsaydı, bir dizi saldırıya karşı savunmasızlardı.


4

SSH, birkaç şey için kullanılan bir şifreleme protokolüdür. VPN tünelinde trafiği şifrelemek bunlardan biridir. Trafiğiniz SSH kullanılarak şifrelenmiştir, ancak İnternet gibi bir ağı geçmek için geçerli IP paketlerine (tünel) sarılması gerekir. Bu tünel VPN.

Temel olarak, işvereniniz, işveren tarafından kontrol edilen bir VPN'den gelmediği sürece güvenlik için ağ trafiğinin dışında engeller. Bir VPN tünelin içeriğini şifreleyebilir veya şifreleyemez. SSH kullanmak, VPN tünelinde taşınan trafiği şifreler.


4
Kısacası: VPN ağı korur, SSH bireysel sunucuları korur.
Ricky Beam

4

Yerel ağa girebilmek için VPN'e ihtiyacınız var.

O zaman ihtiyacın yok VPN bağlantısı tarafından şifrelenmiş olacağından bağlantınızı tek tek sunuculara bağlamanız .

Ancak, onlarla başka nasıl bağlantı kurarsınız? SSH, uzak sunucular için fiili konsol erişim protokolüdür; Güvenli olmayan bir kişinin kurulması ve yapılandırılması ek bir yönetim ek yükü olur ve yerel ağ içindeki güvenliği azaltır (bu sorun olabilir veya olmayabilir).

Unutmayın, şirket içindeki herkes bile her sunucuya tam erişime sahip olmayacak ve yerel ağ içinde bile anahtar tabanlı şifreleme kullanabilmek, ağ yöneticinize yalnızca görünüşte ne olduğunu bilen kişilerin kolayca ve güvenli bir şekilde erişebilmelerini sağlar Şirket içinde bile sunucuya dokunmasına izin verilmektedir.


4

VPN üzerinden ek güvenlik katmanları da kullanabilirsiniz. Cihaz kriterleri kontrolü, 2 faktör doğrulama, vb.


2

Tipik akıl yürütme, maruz kalmayı ve olası saldırı vektörlerini mümkün olduğunca azaltmak istediğinizdedir.

Hem SSH'nin hem de VPN'in gerekli olduğu yönünden (kendi amaçları için) başlıyorsanız, saldırganların çevrenizde iki potansiyel güzergahı olduğu anlamına gelir. Yalnızca SSH'yi yerel yaparsanız, sunucunun güvenliğine ek bir katman ekler. Aşağıdaki senaryoları göz önünde bulundurun:

  1. Harici olarak SSH + VPN. Saldırganın yalnızca sunucuyu tehlikeye atmak için SSH'yi tehlikeye atması gerekir.

  2. SSH harici. İşlevsel olarak önceki senaryo ile aynı.

  3. VPN harici (SSH dahili). Güvenliği ikiye katlar. Saldırganın sunucuya bir şey yapmadan önce her ikisini de geçmesi gerekir.

VPN'in diğer işlevler için gerekli olacağı ve harici erişim için daha iyi yapılandırılmış olabileceği ve bunun hiç akıllıca olmadığını düşünün.


0

Bu sorunun cevabının NAT'ın dahil olması ve (diğerlerinin de belirttiği gibi) nihai hedef sunucuyu dünyaya maruz bırakması tehlikesini doğurabilirim. Büyük anahtarlarla büyük miktarda toplu veri aktarımı yapmıyorsanız, SSH genellikle engel olmaz. Darboğaz neredeyse her zaman ağ olacaktır. (Neredeyse! = Her zaman).

IPv6'ya sahip olacak kadar şanslıysanız, bunun bir sorun olması muhtemel değildir, ancak IPv4 ve mevcut sınırlı adres alanıyla NAT (IMO) sonuçta bu “politikanın” gerisinde kaldığını düşünüyorum. 'yanlışlıkla' veya 'amaçlı' güvenlik.


0

Mevcut anlayışıma göre, SSH - sadece bir istemci kullanıcısının sunucudaki kullanıcı kimliğine erişmek için doğru kimlik bilgilerine sahip olduğunu, bir ISS'nin veya tehlikeye yönlendirilmiş bir yönlendiricinin yapabileceği orta saldırılardaki adamlara duyarlı olduğunu doğrulamak için tcp anahtar değişimi kullanması nedeniyle el sıkışma isteğini engelleme ve bağlantıyı ele geçirme etkinliğinde kimlik doğrulaması yapan kişi olarak davranma. Bu, komutların akışa enjekte edilmesine ve daha sonra ilk özgün müşteriye ulaşmadan önce çıkışın filtrelenmesine izin verir, böylece adam, rasgele komutların sunucunun ssh kabuğuna rasgele enjekte edilmesinde gizlenir.

Ancak bir VPN tüneli tarafından ssh'nin yapamadığı bir şeye izin verilir. Önceden kararlaştırılmış ek bir simetrik şifreleme anahtarı. Bu, iki makine arasındaki trafiğin orta saldırıdaki bir adama duyarlı olmadığı anlamına gelir, çünkü trafik, ssl şifreleme katmanını kontrol etmek için gerçek müşteri adına yakalanıp iletilirse trafik, vpn şifreleme anahtarını geçemez Çünkü üçüncü taraf, vpn tuşlarını, ssh tcp ssl bağlantısının orta bir iletimini kontrol edebildikleri şekilde kontrol edebilecekleri gibi taklit etme kabiliyetine sahip olamayacağından,

Bu nedenle, ssh ortadaki adamı bir ISS'den ya da müşterinin sunucuya bağlanmak için geçmesi gereken bir yönlendiriciden uzaklaştıracak kadar iyi değildir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.