เหตุใดจึงใช้ SSH และ VPN ร่วมกัน


24

นายจ้างของฉันต้องการให้ฉันเข้าสู่ระบบ VPN ก่อนและจากนั้นฉันจะสามารถ SSH เข้าสู่เซิร์ฟเวอร์ แต่ด้วยความปลอดภัยของ SSH VPN ที่มากเกินไปหรือไม่

การใช้ VPN ในแง่ของความปลอดภัยคืออะไรถ้าฉันใช้ SSH อยู่แล้ว ?


2
VPN จะมีขอบเขตที่กว้างขึ้น - หากปราศจากคุณอาจไม่สามารถเข้าถึงเครือข่ายของ บริษัทได้เลย
user253751

2
ฉันสับสนเล็กน้อยเพราะฉันไม่ได้รับรู้เหตุผลที่จะไม่ใช้ SSH เว้นแต่จะใช้เหตุผลบางอย่างที่ไม่ดีนัก
Shadur

1
@Shadur: ตัวเลือกที่พิจารณาใน Q คือ 1) VPN + SSH, 2) SSH เพียงอย่างเดียว แต่ไม่ใช่ 3) VPN เพียงอย่างเดียว ตัวเลือกที่เผชิญกับ OP ล้วนเกี่ยวข้องกับ SSH
RedGrittyBrick

หาก LAN ของพวกเขาใช้ IPSEC ฉันก็คิดว่าคุณสามารถใช้rsh
Neil McGuigan

คำตอบ:


36

เหตุผลที่อยู่เบื้องหลังการตั้งค่าปัจจุบันของคุณอาจเป็นการรวมกันของสามเหตุผลต่อไปนี้

VPN ที่เป็นโซลูชั่นรักษาความปลอดภัยสำหรับเครือข่ายภายนอกของ บริษัท(ดู # 1 ด้านล่าง) SSH แต่อาจจะเป็นชั้นที่สองของนอกปลอดภัยของเครือข่ายของ บริษัท ของคุณ ... แต่วัตถุประสงค์หลักคือการรักษาความปลอดภัยการจราจรภายในเครือข่ายของ บริษัท(ดู # 2 ด้านล่าง) VPN ยังเป็นสิ่งจำเป็นหากอุปกรณ์ที่คุณกำลังพยายามที่จะ SSH เข้าไปใช้ส่วนตัวที่อยู่บนเครือข่าย บริษัท ของคุณ(# 3 ดูด้านล่าง)

  1. VPN สร้างอุโมงค์ไปยังเครือข่าย บริษัท ของคุณที่คุณส่งข้อมูล ดังนั้นจึงไม่มีใครเห็นทราฟฟิกระหว่างคุณและเครือข่าย บริษัท ของคุณสามารถดูสิ่งที่คุณกำลังส่งได้ สิ่งที่พวกเขาเห็นคืออุโมงค์ วิธีนี้ช่วยป้องกันไม่ให้ผู้ที่อยู่นอกเครือข่ายของ บริษัท ขัดขวางการรับส่งข้อมูลของคุณในลักษณะที่เป็นประโยชน์

  2. SSH เป็นวิธีการเข้ารหัสในการเชื่อมต่อกับอุปกรณ์ในเครือข่ายของคุณ (ตรงข้ามกับ Telnet ซึ่งเป็นข้อความที่ชัดเจน) บริษัท มักต้องการการเชื่อมต่อ SSH แม้ในเครือข่ายของ บริษัท ถ้าฉันติดตั้งมัลแวร์บนอุปกรณ์เครือข่ายและคุณเทลเน็ตเข้าไปในอุปกรณ์นั้น (แม้ว่าคุณจะผ่านช่องทาง VPN - เนื่องจากช่องทาง VPN มักจะสิ้นสุดที่ขอบเขตของเครือข่ายของ บริษัท ) ฉันจะเห็นชื่อผู้ใช้และรหัสผ่านของคุณ ถ้าเป็น SSH ที่คุณใช้อยู่ฉันก็ทำไม่ได้

  3. หาก บริษัท ของคุณใช้ที่อยู่ส่วนตัวสำหรับเครือข่ายภายในอุปกรณ์ที่คุณเชื่อมต่ออาจไม่สามารถใช้งานอินเทอร์เน็ตได้ การเชื่อมต่อผ่านอุโมงค์ VPN จะเหมือนกับที่คุณเชื่อมต่อโดยตรงในสำนักงานดังนั้นคุณจะใช้การกำหนดเส้นทางภายในของเครือข่าย บริษัท ที่ไม่สามารถเข้าถึงได้นอกเครือข่ายของ บริษัท


6
หากมัลแวร์อยู่บนอุปกรณ์เป้าหมาย SSH จะไม่ช่วยเทียบกับ telnet (มันจะช่วยถ้ามัลแวร์อยู่ในอุปกรณ์อื่น ๆ ในเครือข่าย)
Pa --lo Ebermann

21

SSH เป็นเป้าหมายที่ได้รับความนิยมอย่างมากสำหรับการพยายามบังคับใช้สัตว์ป่า หากคุณมีเซิร์ฟเวอร์ SSH โดยตรงบนอินเทอร์เน็ตภายในไม่กี่นาทีคุณจะเห็นความพยายามในการเข้าสู่ระบบด้วยชื่อผู้ใช้ (และรหัสผ่าน) ทุกชนิดซึ่งมักจะเป็นพันต่อวันแม้บนเซิร์ฟเวอร์ที่ไม่มีนัยสำคัญขนาดเล็ก

ตอนนี้มันเป็นไปได้ที่จะทำให้เซิร์ฟเวอร์ SSH แข็งแกร่งขึ้น (กลไกหลักสามประการที่ต้องการรหัส SSH ปฏิเสธการเข้าถึงรูทของ SSH และหากเป็นไปได้ที่จะ จำกัด ที่อยู่ IP ที่ได้รับอนุญาตให้เชื่อมต่อ) อย่างไรก็ตามวิธีที่ดีที่สุดในการทำให้เซิร์ฟเวอร์ SSH แข็งแกร่งขึ้นคือไม่สามารถใช้งานอินเทอร์เน็ตได้เลย

ทำไมมันถึงสำคัญ? ท้ายที่สุด SSH มีความปลอดภัยขั้นพื้นฐานใช่ไหม? ใช่ แต่มันปลอดภัยพอ ๆ กับที่ผู้ใช้ทำ - และนายจ้างของคุณอาจกังวลเกี่ยวกับรหัสผ่านที่อ่อนแอและกุญแจ SSH ถูกขโมย

การเพิ่ม VPN เพิ่มเลเยอร์การป้องกันพิเศษที่ควบคุมในระดับองค์กรแทนที่จะเป็นระดับเซิร์ฟเวอร์แต่ละตัวเนื่องจาก SSH เป็น

โดยรวมแล้วฉันขอชมเชยนายจ้างของคุณเกี่ยวกับการดำเนินการด้านความปลอดภัยที่ดีที่นี่ ค่าใช้จ่ายของความสะดวกสบายแน่นอน (ความปลอดภัยมักจะมาที่ค่าใช้จ่ายของความสะดวกสบาย)


4
กลไก # 4 เรียกว่าfail2banและฉันขอแนะนำให้ใช้
Shadur

จุดที่ดีเยี่ยม อีกเครื่องมือที่คล้ายกันคือ denyhosts ในฐานะที่เป็นบันทึกด้านข้างมีช่องโหว่ใน fail2ban บางเวอร์ชันที่อนุญาตให้ผู้โจมตีทำให้บล็อกโฮสต์โดยพลการ - โดยทั่วไปแล้วเวอร์ชันเหล่านั้นสามารถใช้เป็นเวกเตอร์สำหรับการโจมตีแบบปฏิเสธการให้บริการ
เควินคีน

7

VPN ช่วยให้คุณเชื่อมต่อกับเครือข่ายส่วนตัวของผู้ว่าจ้างและรับที่อยู่ IP ของเครือข่ายส่วนตัวนั้น เมื่อคุณเชื่อมต่อกับ VPN แล้วมันก็เหมือนกับว่าคุณกำลังใช้คอมพิวเตอร์เครื่องใดเครื่องหนึ่งใน บริษัท - แม้ว่าคุณจะอยู่ที่อีกด้านหนึ่งของโลกก็ตาม

ส่วนใหญ่แล้วนายจ้างของคุณต้องการให้คุณเชื่อมต่อผ่าน VPN ก่อนเพราะเซิร์ฟเวอร์ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ต (เช่นพวกเขาไม่มีที่อยู่ IP สาธารณะ) ซึ่งเป็นความคิดที่ดี VPN เพิ่มความปลอดภัยอีกชั้นราวกับว่าเซิร์ฟเวอร์นั้นเข้าถึงได้จากสาธารณะผ่าน SSH พวกเขาจะเสี่ยงต่อการถูกโจมตีหลากหลายรูปแบบ


4

SSH เป็นโปรโตคอลการเข้ารหัสที่ใช้สำหรับหลายสิ่ง การเข้ารหัสทราฟฟิกในอุโมงค์ VPN เป็นหนึ่งในนั้น การรับส่งข้อมูลของคุณถูกเข้ารหัสโดยใช้ SSH แต่จะต้องห่อในแพ็กเก็ต IP ที่ถูกต้อง (ช่องทาง) เพื่อสำรวจเครือข่ายเช่นอินเทอร์เน็ต อุโมงค์นี้คือ VPN

โดยทั่วไปแล้วนายจ้างของคุณบล็อกการรับส่งข้อมูลเครือข่ายภายนอกเพื่อความปลอดภัยเว้นแต่ว่าการรับส่งข้อมูลนั้นมาจาก VPN ที่นายจ้างควบคุม VPN อาจหรือไม่เข้ารหัสเนื้อหาของอุโมงค์ การใช้ SSH จะเข้ารหัสการรับส่งข้อมูลในอุโมงค์ VPN


4
กล่าวโดยย่อ: VPN ปกป้องเครือข่าย SSH ปกป้องเซิร์ฟเวอร์แต่ละเครื่อง
Ricky Beam

4

คุณต้องใช้ VPN เพื่อเข้าสู่เครือข่ายท้องถิ่น

จากนั้นคุณไม่จำเป็นต้องรักษาความปลอดภัยการเชื่อมต่อของคุณไปยังเซิร์ฟเวอร์แต่ละเครื่องเนื่องจากจะถูกเข้ารหัสโดยลิงก์ VPN

อย่างไรก็ตามคุณจะเชื่อมต่อกับพวกเขาได้อย่างไร SSH เป็นโปรโตคอลการเข้าถึงคอนโซลโดยพฤตินัยสำหรับเซิร์ฟเวอร์ระยะไกล การติดตั้งและการกำหนดค่า unsecure หนึ่งจะเป็นค่าใช้จ่ายเพิ่มเติมการบริหารจัดการและการรักษาความปลอดภัยลดลงภายในเครือข่ายท้องถิ่น (ซึ่งอาจหรือไม่อาจจะมีปัญหา)

อย่าลืมไม่ใช่ทุกคนแม้แต่ใน บริษัท จะมีสิทธิ์เข้าถึงเซิร์ฟเวอร์ทุกเครื่องและความสามารถในการใช้การเข้ารหัสด้วยรหัสผ่านแม้ในเครือข่ายท้องถิ่นจะช่วยให้ผู้ดูแลระบบเครือข่ายของคุณมั่นใจได้อย่างง่ายดายและปลอดภัย กำลังทำแม้กระทั่งภายใน บริษัท ได้รับอนุญาตให้สัมผัสเซิร์ฟเวอร์


4

คุณสามารถเพิ่มความปลอดภัยให้กับเลเยอร์เพิ่มเติมผ่าน VPN ได้เช่นกัน เช่นการตรวจสอบเกณฑ์อุปกรณ์การตรวจสอบความถูกต้อง 2 ปัจจัยเป็นต้น


2

การใช้เหตุผลแบบปกติคือคุณต้องการลดการเปิดรับและเวกเตอร์การโจมตีที่เป็นไปได้

หากคุณเริ่มต้นจากหลักฐานที่ต้องใช้ทั้ง SSH และ VPN (สำหรับจุดประสงค์ของตนเอง) จากนั้นให้ทั้งสองเผชิญกับภายนอกหมายความว่าผู้โจมตีมีสองเส้นทางที่เป็นไปได้ในสภาพแวดล้อมของคุณ หากคุณสร้าง SSH แบบโลคัลเท่านั้นจะเพิ่มเลเยอร์เพิ่มเติมให้กับความปลอดภัยของเซิร์ฟเวอร์ พิจารณาสถานการณ์สมมติต่อไปนี้:

  1. SSH + VPN ภายนอก ผู้โจมตีต้องการประนีประนอม SSH เพื่อประนีประนอมเซิร์ฟเวอร์

  2. ภายนอก SSH ทำหน้าที่เหมือนกับสถานการณ์ก่อนหน้า

  3. VPN ภายนอก (ภายใน SSH) เพิ่มความปลอดภัยเป็นสองเท่า ผู้โจมตีต้องเจาะผ่านทั้งคู่ก่อนจึงจะสามารถทำอะไรกับเซิร์ฟเวอร์ได้

พิจารณาว่าควบคู่ไปกับข้อเท็จจริงที่ว่า VPN จะเป็นสิ่งจำเป็นสำหรับฟังก์ชั่นอื่น ๆ และอาจได้รับการกำหนดค่าที่ดีกว่าสำหรับการเข้าถึงจากภายนอกและเป็นสิ่งที่ไม่ต้องคิดมาก


0

ฉันจะเสี่ยงว่าคำตอบนั้นง่ายเพียงแค่มีส่วนเกี่ยวข้องกับ NAT และ (ตามที่คนอื่น ๆ ได้กล่าวไว้) เปิดเผยเซิร์ฟเวอร์เป้าหมายขั้นสูงสุดให้กับโลกเชิญการโจมตีอีกจุด เว้นแต่ว่าคุณกำลังถ่ายโอนข้อมูลจำนวนมากอย่างหนักด้วยปุ่มขนาดใหญ่ SSH จะไม่เข้าทาง คอขวดมักจะเป็นเครือข่าย (เกือบ! = เสมอ)

หากคุณ 'โชคดี' พอที่จะมี IPv6 สิ่งนี้ไม่น่าจะเป็นปัญหามากนัก แต่ด้วย IPv4 และพื้นที่ที่อยู่ที่ จำกัด ที่มีอยู่ NAT คือ (IMO) ท้ายที่สุดสิ่งที่ฉันคิดว่าอยู่เบื้องหลัง 'นโยบาย' มากกว่าอื่นใด ความปลอดภัย 'อุบัติเหตุ' หรือ 'เด็ดเดี่ยว'


0

จากความเข้าใจปัจจุบันของฉัน SSH - เพราะมันใช้การแลกเปลี่ยนคีย์ tcp เพื่อตรวจสอบว่าผู้ใช้ไคลเอนต์มีข้อมูลประจำตัวที่ถูกต้องในการเข้าถึง ID ผู้ใช้ในเซิร์ฟเวอร์มีความเสี่ยงต่อมนุษย์ในการโจมตีตรงกลางที่ ISP หรือเราเตอร์ที่ถูกบุกรุก ดักจับการร้องขอการจับมือกันและทำหน้าที่เป็นหนึ่งในการตรวจสอบความถูกต้องส่งผลในการหักหลังการเชื่อมต่อ สิ่งนี้อนุญาตให้คำสั่งถูกแทรกลงในสตรีมจากนั้นเอาต์พุตจะถูกกรองออกก่อนที่จะถึงไคลเอนต์ของแท้เริ่มต้นจึงซ่อนชายคนนั้นไว้ในการฉีดตรงกลางของคำสั่งโดยพลการลงในเชลล์เซิร์ฟเวอร์ ssh

อย่างไรก็ตามโดยอุโมงค์ VPN อนุญาตให้บางสิ่งบางอย่างที่ ssh ไม่ได้ คีย์การเข้ารหัสลับเพิ่มเติมที่ได้ตกลงกันไว้ล่วงหน้า ซึ่งหมายความว่าทราฟฟิกระหว่างสองเครื่องนั้นไม่ไวต่อคนในการโจมตีระดับกลางเนื่องจากทราฟฟิกหากการดักจับและส่งต่อในนามของไคลเอนต์ของแท้เพื่อควบคุมเลเยอร์การเข้ารหัส ssl จะไม่สามารถผ่านคีย์เข้ารหัส vpn ความต้องการเนื่องจากบุคคลที่สามจะไม่มีความสามารถในการปลอมแปลงปุ่ม vpn ในลักษณะเดียวกับที่พวกเขาจะสามารถควบคุมการส่งต่อคนกลางของการเชื่อมต่อ ssh tcp ssl

ดังนั้น ssh นั้นไม่ดีพอที่จะหยุดคนที่อยู่ตรงกลางจาก ISP หรือเราเตอร์ที่ถูกบุกรุกซึ่งลูกค้าจำเป็นต้องผ่านเพื่อเชื่อมต่อกับเซิร์ฟเวอร์

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.