İşverenim önce bir VPN'de oturum açmamı istiyor ve ancak o zaman sunuculara SSH gönderebiliyorum. Ancak, SSH'nin güvenliği göz önüne alındığında, bir VPN overkill mi?
Zaten SSH kullanıyorsam , VPN'in güvenlik açısından kullanımı nedir ?
rsh
İşverenim önce bir VPN'de oturum açmamı istiyor ve ancak o zaman sunuculara SSH gönderebiliyorum. Ancak, SSH'nin güvenliği göz önüne alındığında, bir VPN overkill mi?
Zaten SSH kullanıyorsam , VPN'in güvenlik açısından kullanımı nedir ?
rsh
Yanıtlar:
Şu anki kurulumunuzun arkasındaki sebep muhtemelen aşağıdaki üç nedenin bir birleşimidir.
VPN, şirket ağınızın dışına yönelik bir güvenlik çözümüdür (Aşağıdaki # 1'e bakınız) . Bununla birlikte SSH, şirket ağınızın dışında ikinci bir güvenlik katmanı olabilir ... ancak asıl amacı şirket ağınızdaki trafiği güvence altına almaktır (Aşağıda # 2'ye bakınız) . SSH’ye girmeye çalıştığınız cihaz şirket ağınızda özel bir adres kullanıyorsa da VPN gerekir (Aşağıdaki # 3’e bakınız) .
VPN, verileri yönlendirdiğiniz şirket ağınıza tüneli oluşturur. Böylece siz ve şirketinizin ağı arasındaki trafiği gören hiç kimse gerçekte ne gönderdiğinizi göremez. Tek gördükleri tünel. Bu, şirket ağı dışındaki kişilerin trafiğinizi yararlı bir şekilde ele geçirmelerini önler.
SSH, ağınızdaki cihazlara (şifreli metin olan Telnet’in aksine) bağlanmanın şifreli bir yoludur. Şirketler genellikle güvenlik amacıyla bir şirket ağında bile SSH bağlantısı gerektirir. Bir ağ cihazına kötü amaçlı yazılım yüklediyseniz ve bu cihaza telnet yapıyorsanız (VPN tünelinden gelseniz bile - VPN tüneli genellikle bir şirketin ağının çevresinde sona erdiğinde), kullanıcı adınızı ve şifrenizi görebilirim. Kullandığınız SSH ise, o zaman yapamam.
Şirketiniz dahili ağ için özel adres kullanıyorsa, bağlandığınız cihaz internet üzerinden dolaştırılamayabilir. Bir VPN tüneli üzerinden bağlanmak, doğrudan ofise bağlanmış gibisiniz, bu nedenle şirket ağının dışından erişilemeyecek olan şirket ağının iç yönlendirmesini kullanırsınız.
SSH kaba kabadayı teşebbüsleri için son derece popüler bir hedef. Doğrudan İnternet üzerinde bir SSH sunucunuz varsa, birkaç dakika içinde, küçük önemsiz sunucularda bile, her gün kullanıcı adlarıyla (ve parolalarla) oturum açma girişimlerini görürsünüz.
Şimdi SSH sunucularını sertleştirmek mümkündür (ana üç mekanizma bir SSH anahtarı gerektirir, SSH'ye kök erişimini reddeder ve mümkünse bağlanmasına izin verilen IP adreslerini kısıtlar). Yine de, bir SSH sunucusunu sertleştirmenin en iyi yolu, internette bile bulunmamasıdır.
Neden fark eder? Sonuçta, SSH temel olarak güvenlidir, değil mi? Evet, ama bu kullanıcılar kadar güvenlidir - ve işvereniniz zayıf şifrelerden ve SSH anahtarlarının çalınmasından endişelenebilir.
Bir VPN eklemek, SSH gibi bireysel sunucu düzeyinde değil, kurumsal düzeyde kontrol edilen ekstra bir savunma katmanı ekler.
Sonuç olarak, işvereninize burada bazı iyi güvenlik uygulamalarını yerine getirmesi için teşekkür ederim. Elbette kolaylık pahasına (güvenlik genellikle kolaylık pahasına gelir).
VPN, işvereninizin özel ağına bağlanmanıza ve bu özel ağın bir IP adresini almanıza izin verir. VPN'e bağlandıktan sonra, fiziksel olarak dünyanın diğer tarafına yerleştirilmiş olsanız bile, şirket içindeki bilgisayarlardan birini kullanıyor gibisiniz.
Büyük olasılıkla, işvereniniz, VPN üzerinden bağlanmanızı gerektirir; çünkü sunuculara Internet'ten erişilemez (yani, genel bir IP adresi yoktur), bu iyi bir fikirdir. VPN başka bir güvenlik katmanı ekler; sanki sunucular SSH üzerinden halka açık olsaydı, bir dizi saldırıya karşı savunmasızlardı.
SSH, birkaç şey için kullanılan bir şifreleme protokolüdür. VPN tünelinde trafiği şifrelemek bunlardan biridir. Trafiğiniz SSH kullanılarak şifrelenmiştir, ancak İnternet gibi bir ağı geçmek için geçerli IP paketlerine (tünel) sarılması gerekir. Bu tünel VPN.
Temel olarak, işvereniniz, işveren tarafından kontrol edilen bir VPN'den gelmediği sürece güvenlik için ağ trafiğinin dışında engeller. Bir VPN tünelin içeriğini şifreleyebilir veya şifreleyemez. SSH kullanmak, VPN tünelinde taşınan trafiği şifreler.
Yerel ağa girebilmek için VPN'e ihtiyacınız var.
O zaman ihtiyacın yok VPN bağlantısı tarafından şifrelenmiş olacağından bağlantınızı tek tek sunuculara bağlamanız .
Ancak, onlarla başka nasıl bağlantı kurarsınız? SSH, uzak sunucular için fiili konsol erişim protokolüdür; Güvenli olmayan bir kişinin kurulması ve yapılandırılması ek bir yönetim ek yükü olur ve yerel ağ içindeki güvenliği azaltır (bu sorun olabilir veya olmayabilir).
Unutmayın, şirket içindeki herkes bile her sunucuya tam erişime sahip olmayacak ve yerel ağ içinde bile anahtar tabanlı şifreleme kullanabilmek, ağ yöneticinize yalnızca görünüşte ne olduğunu bilen kişilerin kolayca ve güvenli bir şekilde erişebilmelerini sağlar Şirket içinde bile sunucuya dokunmasına izin verilmektedir.
Tipik akıl yürütme, maruz kalmayı ve olası saldırı vektörlerini mümkün olduğunca azaltmak istediğinizdedir.
Hem SSH'nin hem de VPN'in gerekli olduğu yönünden (kendi amaçları için) başlıyorsanız, saldırganların çevrenizde iki potansiyel güzergahı olduğu anlamına gelir. Yalnızca SSH'yi yerel yaparsanız, sunucunun güvenliğine ek bir katman ekler. Aşağıdaki senaryoları göz önünde bulundurun:
Harici olarak SSH + VPN. Saldırganın yalnızca sunucuyu tehlikeye atmak için SSH'yi tehlikeye atması gerekir.
SSH harici. İşlevsel olarak önceki senaryo ile aynı.
VPN harici (SSH dahili). Güvenliği ikiye katlar. Saldırganın sunucuya bir şey yapmadan önce her ikisini de geçmesi gerekir.
VPN'in diğer işlevler için gerekli olacağı ve harici erişim için daha iyi yapılandırılmış olabileceği ve bunun hiç akıllıca olmadığını düşünün.
Bu sorunun cevabının NAT'ın dahil olması ve (diğerlerinin de belirttiği gibi) nihai hedef sunucuyu dünyaya maruz bırakması tehlikesini doğurabilirim. Büyük anahtarlarla büyük miktarda toplu veri aktarımı yapmıyorsanız, SSH genellikle engel olmaz. Darboğaz neredeyse her zaman ağ olacaktır. (Neredeyse! = Her zaman).
IPv6'ya sahip olacak kadar şanslıysanız, bunun bir sorun olması muhtemel değildir, ancak IPv4 ve mevcut sınırlı adres alanıyla NAT (IMO) sonuçta bu “politikanın” gerisinde kaldığını düşünüyorum. 'yanlışlıkla' veya 'amaçlı' güvenlik.
Mevcut anlayışıma göre, SSH - sadece bir istemci kullanıcısının sunucudaki kullanıcı kimliğine erişmek için doğru kimlik bilgilerine sahip olduğunu, bir ISS'nin veya tehlikeye yönlendirilmiş bir yönlendiricinin yapabileceği orta saldırılardaki adamlara duyarlı olduğunu doğrulamak için tcp anahtar değişimi kullanması nedeniyle el sıkışma isteğini engelleme ve bağlantıyı ele geçirme etkinliğinde kimlik doğrulaması yapan kişi olarak davranma. Bu, komutların akışa enjekte edilmesine ve daha sonra ilk özgün müşteriye ulaşmadan önce çıkışın filtrelenmesine izin verir, böylece adam, rasgele komutların sunucunun ssh kabuğuna rasgele enjekte edilmesinde gizlenir.
Ancak bir VPN tüneli tarafından ssh'nin yapamadığı bir şeye izin verilir. Önceden kararlaştırılmış ek bir simetrik şifreleme anahtarı. Bu, iki makine arasındaki trafiğin orta saldırıdaki bir adama duyarlı olmadığı anlamına gelir, çünkü trafik, ssl şifreleme katmanını kontrol etmek için gerçek müşteri adına yakalanıp iletilirse trafik, vpn şifreleme anahtarını geçemez Çünkü üçüncü taraf, vpn tuşlarını, ssh tcp ssl bağlantısının orta bir iletimini kontrol edebildikleri şekilde kontrol edebilecekleri gibi taklit etme kabiliyetine sahip olamayacağından,
Bu nedenle, ssh ortadaki adamı bir ISS'den ya da müşterinin sunucuya bağlanmak için geçmesi gereken bir yönlendiriciden uzaklaştıracak kadar iyi değildir.