¿Cuál es la mejor manera de garantizar la seguridad en redes múltiples?

0

Tengo la siguiente configuración:

Tengo un servidor que usa XEN para ejecutar varias máquinas virtuales. Todos ellos están conectados a varias redes (virtuales o físicas). Tengo internet (chicos malos), una red DMZ y una red interna (solo chicos buenos). Separé las redes mediante enrutadores (virtuales) que impiden que se detenga el tráfico no autorizado.

Ahora quiero poder acceder a todas las máquinas a través de SSH desde dentro de la LAN e Internet si es necesario para hacer alguna reparación remota. Desde Internet, todos los accesos SSH se redirigen a una máquina en la DMZ. Ahora podría hacer dos cosas diferentes a partir de ahí:

  1. Tenga las llaves de todas las máquinas en mi computadora portátil (en algún lugar de Internet) y luego conecte a la máquina SSH. Construyo un túnel al enrutador interno y, a través de él, puedo acceder a la red interna.
  2. Tener la clave de mi máquina SSH en la computadora portátil y pasar de una máquina a otra a través de la red virtual. Así que la clave para el enrutador está en la máquina SSH y así sucesivamente.

Mi sugerencia fue utilizar la opción 1 más la posibilidad de construir un túnel desde allí a cada PC en DMZ / LAN / VPN (iptables está activo en este momento).

¿Como lo harias? ¿Cuáles son tus sugerencias? ¿Hay incluso una mejor solución?

Christian Wolf
fuente

Respuestas:

0

Nota: Esta es mi opinión personal como alguien interesado en la seguridad. No soy un experto, ni tengo ninguna calificación bajo mi nombre.

Posible riesgo de seguridad:
Creo que tener un servidor SSH DMZ-ed es un riesgo para la seguridad, ya que el servidor DMZ-ed significa que el firewall simplemente pasará cualquier intento de conexión desconocido / no bloqueado explícitamente a ese servidor, lo que significa que el servidor es propenso a la exploración, y en el peor de los casos, ataque.

Recomendación # 1
¿Ha considerado tener un servidor VPN dentro de su LAN? De esta manera, puede eliminar la DMZ y seguir accediendo detrás de su LAN a través de un túnel seguro con VPN.

Pro : VPN permite una conexión segura y encriptada desde Internet a su LAN. Si tiene VPN, no necesitará DMZ, lo que significa que espero que sea más seguro para usted.

Estafa : El servidor VPN puede ser difícil de configurar, o requerir dinero para configurarlo, y agregar otra capa de complejidad para la administración de TI.

Y tener todos sus huevos en una cesta (todas sus claves SSH seguras en su computadora portátil) no es exactamente la mejor manera (Escenario: si pierde su computadora portátil), pero siempre puede tener un cifrado de disco completo con TrueCrypt u otro software, por lo que si su computadora portátil nunca saldrá de su mano, al menos sus datos estarán completamente encriptados y ningún mal puede intentar abusar de esos datos.

Si no tiene los recursos / tiempo para invertir en VPN, si tiene alguna caja NAS existente (Synology, QNAP u otra marca), mayo tenga el servidor VPN como un módulo que puede descargar para una instalación y configuración muy fáciles (esto es cierto para Synology que poseo y probé personalmente).

Recomendación # 2
O, si la VPN no es realmente posible (por cualquier motivo), ¿tal vez considerar un software de soporte remoto?
(GotoAssist, TeamViewer, Logmein para nombrar algunos).
Instale el cliente en una máquina en la que confíe dentro de su LAN, y simplemente conéctese a esa máquina desde Internet. Y luego, utilizando esa máquina como punto de salto, puede SSH en todas partes, como si estuviera sentado frente a la máquina dentro de su LAN.

Pro : Puede mantener sus claves SSH en una PC DENTRO de su LAN. Asegurado detrás de su firewall corporativo. Estafa : Se requiere un software de terceros para permitir la conexión de Internet a su LAN. Y el software puede costar dinero.

Experiencia personal: TeamViewer es definitivamente muy fácil de usar y gratuito para uso personal. Y también TeamViewer tiene una opción para conectarse a través de VPN (Desafortunadamente, no lo he probado personalmente, pero he visto la opción de instalar un controlador de VPN): beneficio adicional de asegurar su conexión.

Espero que esto ayude.

Darius
fuente
OK, en la DMZ hay una VPN todavía. Pero esto tiende a fallar (olvidado actualizar los certificados desactualizados). Desafortunadamente, no entiendo su punto en la primera parte: tengo diferentes máquinas virtuales para Apache, para SSH, para VPN, etc. El acceso al puerto 22 recibe NAT en el servidor SSH (a medida que otros puertos reciben NAT en su destino). A excepción de los intentos de SSH, el SSH nunca será recargable. Así que no entiendo el punto, lo siento.
Christian Wolf
@ChristianWolf Tengo entendido que si un servidor se configura como destino DMZ, cualquier conexión entrante a un puerto que el firewall no tenga reenvío conocido simplemente enviará la conexión al servidor DMZ, y el servidor DMZ tendrá que manejar la conexión entrante (basado en en las reglas del servidor de seguridad del servidor DMZ) - por lo tanto, mi idea del servidor DMZ puede ser investigada / atacada. Más allá de eso, ¿has considerado el doble SSH? es decir. SSH al servidor DMZ y luego SSH a todos los demás servicios (similar a su solución # 1) Pero esto significa que su servidor DMZ necesita aceptar SSH y es propenso a ser atacado.
Darius