นายจ้างของฉันต้องการให้ฉันเข้าสู่ระบบ VPN ก่อนและจากนั้นฉันจะสามารถ SSH เข้าสู่เซิร์ฟเวอร์ แต่ด้วยความปลอดภัยของ SSH VPN ที่มากเกินไปหรือไม่
การใช้ VPN ในแง่ของความปลอดภัยคืออะไรถ้าฉันใช้ SSH อยู่แล้ว ?
rsh
นายจ้างของฉันต้องการให้ฉันเข้าสู่ระบบ VPN ก่อนและจากนั้นฉันจะสามารถ SSH เข้าสู่เซิร์ฟเวอร์ แต่ด้วยความปลอดภัยของ SSH VPN ที่มากเกินไปหรือไม่
การใช้ VPN ในแง่ของความปลอดภัยคืออะไรถ้าฉันใช้ SSH อยู่แล้ว ?
rsh
คำตอบ:
เหตุผลที่อยู่เบื้องหลังการตั้งค่าปัจจุบันของคุณอาจเป็นการรวมกันของสามเหตุผลต่อไปนี้
VPN ที่เป็นโซลูชั่นรักษาความปลอดภัยสำหรับเครือข่ายภายนอกของ บริษัท(ดู # 1 ด้านล่าง) SSH แต่อาจจะเป็นชั้นที่สองของนอกปลอดภัยของเครือข่ายของ บริษัท ของคุณ ... แต่วัตถุประสงค์หลักคือการรักษาความปลอดภัยการจราจรภายในเครือข่ายของ บริษัท(ดู # 2 ด้านล่าง) VPN ยังเป็นสิ่งจำเป็นหากอุปกรณ์ที่คุณกำลังพยายามที่จะ SSH เข้าไปใช้ส่วนตัวที่อยู่บนเครือข่าย บริษัท ของคุณ(# 3 ดูด้านล่าง)
VPN สร้างอุโมงค์ไปยังเครือข่าย บริษัท ของคุณที่คุณส่งข้อมูล ดังนั้นจึงไม่มีใครเห็นทราฟฟิกระหว่างคุณและเครือข่าย บริษัท ของคุณสามารถดูสิ่งที่คุณกำลังส่งได้ สิ่งที่พวกเขาเห็นคืออุโมงค์ วิธีนี้ช่วยป้องกันไม่ให้ผู้ที่อยู่นอกเครือข่ายของ บริษัท ขัดขวางการรับส่งข้อมูลของคุณในลักษณะที่เป็นประโยชน์
SSH เป็นวิธีการเข้ารหัสในการเชื่อมต่อกับอุปกรณ์ในเครือข่ายของคุณ (ตรงข้ามกับ Telnet ซึ่งเป็นข้อความที่ชัดเจน) บริษัท มักต้องการการเชื่อมต่อ SSH แม้ในเครือข่ายของ บริษัท ถ้าฉันติดตั้งมัลแวร์บนอุปกรณ์เครือข่ายและคุณเทลเน็ตเข้าไปในอุปกรณ์นั้น (แม้ว่าคุณจะผ่านช่องทาง VPN - เนื่องจากช่องทาง VPN มักจะสิ้นสุดที่ขอบเขตของเครือข่ายของ บริษัท ) ฉันจะเห็นชื่อผู้ใช้และรหัสผ่านของคุณ ถ้าเป็น SSH ที่คุณใช้อยู่ฉันก็ทำไม่ได้
หาก บริษัท ของคุณใช้ที่อยู่ส่วนตัวสำหรับเครือข่ายภายในอุปกรณ์ที่คุณเชื่อมต่ออาจไม่สามารถใช้งานอินเทอร์เน็ตได้ การเชื่อมต่อผ่านอุโมงค์ VPN จะเหมือนกับที่คุณเชื่อมต่อโดยตรงในสำนักงานดังนั้นคุณจะใช้การกำหนดเส้นทางภายในของเครือข่าย บริษัท ที่ไม่สามารถเข้าถึงได้นอกเครือข่ายของ บริษัท
SSH เป็นเป้าหมายที่ได้รับความนิยมอย่างมากสำหรับการพยายามบังคับใช้สัตว์ป่า หากคุณมีเซิร์ฟเวอร์ SSH โดยตรงบนอินเทอร์เน็ตภายในไม่กี่นาทีคุณจะเห็นความพยายามในการเข้าสู่ระบบด้วยชื่อผู้ใช้ (และรหัสผ่าน) ทุกชนิดซึ่งมักจะเป็นพันต่อวันแม้บนเซิร์ฟเวอร์ที่ไม่มีนัยสำคัญขนาดเล็ก
ตอนนี้มันเป็นไปได้ที่จะทำให้เซิร์ฟเวอร์ SSH แข็งแกร่งขึ้น (กลไกหลักสามประการที่ต้องการรหัส SSH ปฏิเสธการเข้าถึงรูทของ SSH และหากเป็นไปได้ที่จะ จำกัด ที่อยู่ IP ที่ได้รับอนุญาตให้เชื่อมต่อ) อย่างไรก็ตามวิธีที่ดีที่สุดในการทำให้เซิร์ฟเวอร์ SSH แข็งแกร่งขึ้นคือไม่สามารถใช้งานอินเทอร์เน็ตได้เลย
ทำไมมันถึงสำคัญ? ท้ายที่สุด SSH มีความปลอดภัยขั้นพื้นฐานใช่ไหม? ใช่ แต่มันปลอดภัยพอ ๆ กับที่ผู้ใช้ทำ - และนายจ้างของคุณอาจกังวลเกี่ยวกับรหัสผ่านที่อ่อนแอและกุญแจ SSH ถูกขโมย
การเพิ่ม VPN เพิ่มเลเยอร์การป้องกันพิเศษที่ควบคุมในระดับองค์กรแทนที่จะเป็นระดับเซิร์ฟเวอร์แต่ละตัวเนื่องจาก SSH เป็น
โดยรวมแล้วฉันขอชมเชยนายจ้างของคุณเกี่ยวกับการดำเนินการด้านความปลอดภัยที่ดีที่นี่ ค่าใช้จ่ายของความสะดวกสบายแน่นอน (ความปลอดภัยมักจะมาที่ค่าใช้จ่ายของความสะดวกสบาย)
VPN ช่วยให้คุณเชื่อมต่อกับเครือข่ายส่วนตัวของผู้ว่าจ้างและรับที่อยู่ IP ของเครือข่ายส่วนตัวนั้น เมื่อคุณเชื่อมต่อกับ VPN แล้วมันก็เหมือนกับว่าคุณกำลังใช้คอมพิวเตอร์เครื่องใดเครื่องหนึ่งใน บริษัท - แม้ว่าคุณจะอยู่ที่อีกด้านหนึ่งของโลกก็ตาม
ส่วนใหญ่แล้วนายจ้างของคุณต้องการให้คุณเชื่อมต่อผ่าน VPN ก่อนเพราะเซิร์ฟเวอร์ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ต (เช่นพวกเขาไม่มีที่อยู่ IP สาธารณะ) ซึ่งเป็นความคิดที่ดี VPN เพิ่มความปลอดภัยอีกชั้นราวกับว่าเซิร์ฟเวอร์นั้นเข้าถึงได้จากสาธารณะผ่าน SSH พวกเขาจะเสี่ยงต่อการถูกโจมตีหลากหลายรูปแบบ
SSH เป็นโปรโตคอลการเข้ารหัสที่ใช้สำหรับหลายสิ่ง การเข้ารหัสทราฟฟิกในอุโมงค์ VPN เป็นหนึ่งในนั้น การรับส่งข้อมูลของคุณถูกเข้ารหัสโดยใช้ SSH แต่จะต้องห่อในแพ็กเก็ต IP ที่ถูกต้อง (ช่องทาง) เพื่อสำรวจเครือข่ายเช่นอินเทอร์เน็ต อุโมงค์นี้คือ VPN
โดยทั่วไปแล้วนายจ้างของคุณบล็อกการรับส่งข้อมูลเครือข่ายภายนอกเพื่อความปลอดภัยเว้นแต่ว่าการรับส่งข้อมูลนั้นมาจาก VPN ที่นายจ้างควบคุม VPN อาจหรือไม่เข้ารหัสเนื้อหาของอุโมงค์ การใช้ SSH จะเข้ารหัสการรับส่งข้อมูลในอุโมงค์ VPN
คุณต้องใช้ VPN เพื่อเข้าสู่เครือข่ายท้องถิ่น
จากนั้นคุณไม่จำเป็นต้องรักษาความปลอดภัยการเชื่อมต่อของคุณไปยังเซิร์ฟเวอร์แต่ละเครื่องเนื่องจากจะถูกเข้ารหัสโดยลิงก์ VPN
อย่างไรก็ตามคุณจะเชื่อมต่อกับพวกเขาได้อย่างไร SSH เป็นโปรโตคอลการเข้าถึงคอนโซลโดยพฤตินัยสำหรับเซิร์ฟเวอร์ระยะไกล การติดตั้งและการกำหนดค่า unsecure หนึ่งจะเป็นค่าใช้จ่ายเพิ่มเติมการบริหารจัดการและการรักษาความปลอดภัยลดลงภายในเครือข่ายท้องถิ่น (ซึ่งอาจหรือไม่อาจจะมีปัญหา)
อย่าลืมไม่ใช่ทุกคนแม้แต่ใน บริษัท จะมีสิทธิ์เข้าถึงเซิร์ฟเวอร์ทุกเครื่องและความสามารถในการใช้การเข้ารหัสด้วยรหัสผ่านแม้ในเครือข่ายท้องถิ่นจะช่วยให้ผู้ดูแลระบบเครือข่ายของคุณมั่นใจได้อย่างง่ายดายและปลอดภัย กำลังทำแม้กระทั่งภายใน บริษัท ได้รับอนุญาตให้สัมผัสเซิร์ฟเวอร์
คุณสามารถเพิ่มความปลอดภัยให้กับเลเยอร์เพิ่มเติมผ่าน VPN ได้เช่นกัน เช่นการตรวจสอบเกณฑ์อุปกรณ์การตรวจสอบความถูกต้อง 2 ปัจจัยเป็นต้น
การใช้เหตุผลแบบปกติคือคุณต้องการลดการเปิดรับและเวกเตอร์การโจมตีที่เป็นไปได้
หากคุณเริ่มต้นจากหลักฐานที่ต้องใช้ทั้ง SSH และ VPN (สำหรับจุดประสงค์ของตนเอง) จากนั้นให้ทั้งสองเผชิญกับภายนอกหมายความว่าผู้โจมตีมีสองเส้นทางที่เป็นไปได้ในสภาพแวดล้อมของคุณ หากคุณสร้าง SSH แบบโลคัลเท่านั้นจะเพิ่มเลเยอร์เพิ่มเติมให้กับความปลอดภัยของเซิร์ฟเวอร์ พิจารณาสถานการณ์สมมติต่อไปนี้:
SSH + VPN ภายนอก ผู้โจมตีต้องการประนีประนอม SSH เพื่อประนีประนอมเซิร์ฟเวอร์
ภายนอก SSH ทำหน้าที่เหมือนกับสถานการณ์ก่อนหน้า
VPN ภายนอก (ภายใน SSH) เพิ่มความปลอดภัยเป็นสองเท่า ผู้โจมตีต้องเจาะผ่านทั้งคู่ก่อนจึงจะสามารถทำอะไรกับเซิร์ฟเวอร์ได้
พิจารณาว่าควบคู่ไปกับข้อเท็จจริงที่ว่า VPN จะเป็นสิ่งจำเป็นสำหรับฟังก์ชั่นอื่น ๆ และอาจได้รับการกำหนดค่าที่ดีกว่าสำหรับการเข้าถึงจากภายนอกและเป็นสิ่งที่ไม่ต้องคิดมาก
ฉันจะเสี่ยงว่าคำตอบนั้นง่ายเพียงแค่มีส่วนเกี่ยวข้องกับ NAT และ (ตามที่คนอื่น ๆ ได้กล่าวไว้) เปิดเผยเซิร์ฟเวอร์เป้าหมายขั้นสูงสุดให้กับโลกเชิญการโจมตีอีกจุด เว้นแต่ว่าคุณกำลังถ่ายโอนข้อมูลจำนวนมากอย่างหนักด้วยปุ่มขนาดใหญ่ SSH จะไม่เข้าทาง คอขวดมักจะเป็นเครือข่าย (เกือบ! = เสมอ)
หากคุณ 'โชคดี' พอที่จะมี IPv6 สิ่งนี้ไม่น่าจะเป็นปัญหามากนัก แต่ด้วย IPv4 และพื้นที่ที่อยู่ที่ จำกัด ที่มีอยู่ NAT คือ (IMO) ท้ายที่สุดสิ่งที่ฉันคิดว่าอยู่เบื้องหลัง 'นโยบาย' มากกว่าอื่นใด ความปลอดภัย 'อุบัติเหตุ' หรือ 'เด็ดเดี่ยว'
จากความเข้าใจปัจจุบันของฉัน SSH - เพราะมันใช้การแลกเปลี่ยนคีย์ tcp เพื่อตรวจสอบว่าผู้ใช้ไคลเอนต์มีข้อมูลประจำตัวที่ถูกต้องในการเข้าถึง ID ผู้ใช้ในเซิร์ฟเวอร์มีความเสี่ยงต่อมนุษย์ในการโจมตีตรงกลางที่ ISP หรือเราเตอร์ที่ถูกบุกรุก ดักจับการร้องขอการจับมือกันและทำหน้าที่เป็นหนึ่งในการตรวจสอบความถูกต้องส่งผลในการหักหลังการเชื่อมต่อ สิ่งนี้อนุญาตให้คำสั่งถูกแทรกลงในสตรีมจากนั้นเอาต์พุตจะถูกกรองออกก่อนที่จะถึงไคลเอนต์ของแท้เริ่มต้นจึงซ่อนชายคนนั้นไว้ในการฉีดตรงกลางของคำสั่งโดยพลการลงในเชลล์เซิร์ฟเวอร์ ssh
อย่างไรก็ตามโดยอุโมงค์ VPN อนุญาตให้บางสิ่งบางอย่างที่ ssh ไม่ได้ คีย์การเข้ารหัสลับเพิ่มเติมที่ได้ตกลงกันไว้ล่วงหน้า ซึ่งหมายความว่าทราฟฟิกระหว่างสองเครื่องนั้นไม่ไวต่อคนในการโจมตีระดับกลางเนื่องจากทราฟฟิกหากการดักจับและส่งต่อในนามของไคลเอนต์ของแท้เพื่อควบคุมเลเยอร์การเข้ารหัส ssl จะไม่สามารถผ่านคีย์เข้ารหัส vpn ความต้องการเนื่องจากบุคคลที่สามจะไม่มีความสามารถในการปลอมแปลงปุ่ม vpn ในลักษณะเดียวกับที่พวกเขาจะสามารถควบคุมการส่งต่อคนกลางของการเชื่อมต่อ ssh tcp ssl
ดังนั้น ssh นั้นไม่ดีพอที่จะหยุดคนที่อยู่ตรงกลางจาก ISP หรือเราเตอร์ที่ถูกบุกรุกซึ่งลูกค้าจำเป็นต้องผ่านเพื่อเชื่อมต่อกับเซิร์ฟเวอร์