Nota: Esta es mi opinión personal como alguien interesado en la seguridad. No soy un experto, ni tengo ninguna calificación bajo mi nombre.
Posible riesgo de seguridad:
Creo que tener un servidor SSH DMZ-ed es un riesgo para la seguridad, ya que el servidor DMZ-ed significa que el firewall simplemente pasará cualquier intento de conexión desconocido / no bloqueado explícitamente a ese servidor, lo que significa que el servidor es propenso a la exploración, y en el peor de los casos, ataque.
Recomendación # 1
¿Ha considerado tener un servidor VPN dentro de su LAN? De esta manera, puede eliminar la DMZ y seguir accediendo detrás de su LAN a través de un túnel seguro con VPN.
Pro : VPN permite una conexión segura y encriptada desde Internet a su LAN. Si tiene VPN, no necesitará DMZ, lo que significa que espero que sea más seguro para usted.
Estafa : El servidor VPN puede ser difícil de configurar, o requerir dinero para configurarlo, y agregar otra capa de complejidad para la administración de TI.
Y tener todos sus huevos en una cesta (todas sus claves SSH seguras en su computadora portátil) no es exactamente la mejor manera (Escenario: si pierde su computadora portátil), pero siempre puede tener un cifrado de disco completo con TrueCrypt u otro software, por lo que si su computadora portátil nunca saldrá de su mano, al menos sus datos estarán completamente encriptados y ningún mal puede intentar abusar de esos datos.
Si no tiene los recursos / tiempo para invertir en VPN, si tiene alguna caja NAS existente (Synology, QNAP u otra marca), mayo tenga el servidor VPN como un módulo que puede descargar para una instalación y configuración muy fáciles (esto es cierto para Synology que poseo y probé personalmente).
Recomendación # 2
O, si la VPN no es realmente posible (por cualquier motivo), ¿tal vez considerar un software de soporte remoto?
(GotoAssist, TeamViewer, Logmein para nombrar algunos).
Instale el cliente en una máquina en la que confíe dentro de su LAN, y simplemente conéctese a esa máquina desde Internet. Y luego, utilizando esa máquina como punto de salto, puede SSH en todas partes, como si estuviera sentado frente a la máquina dentro de su LAN.
Pro : Puede mantener sus claves SSH en una PC DENTRO de su LAN. Asegurado detrás de su firewall corporativo. Estafa : Se requiere un software de terceros para permitir la conexión de Internet a su LAN. Y el software puede costar dinero.
Experiencia personal: TeamViewer es definitivamente muy fácil de usar y gratuito para uso personal. Y también TeamViewer tiene una opción para conectarse a través de VPN (Desafortunadamente, no lo he probado personalmente, pero he visto la opción de instalar un controlador de VPN): beneficio adicional de asegurar su conexión.
Espero que esto ayude.