次のような設定になっています:
XEN を使用して複数の仮想マシンを実行するサーバーがあります。それらはすべて、さまざまな (仮想または物理) ネットワークに接続されています。インターネット (悪意のあるユーザー)、DMZ ネットワーク、および内部ネットワーク (善意のユーザーのみ) があります。不正なトラフィックが阻止されるのを防ぐ (仮想) ルーターによってネットワークを分離しています。
リモート修復が必要な場合、LAN 内とインターネットの両方から SSH 経由ですべてのマシンにアクセスできるようにしたいと考えています。インターネットからのすべての SSH アクセスは DMZ 内のマシンにリダイレクトされます。ここから、次の 2 つの異なる操作を実行できます。
- すべてのマシンのキーをラップトップ(インターネット上のどこか)上に置き、SSH マシンに接続します。内部ルーターへのトンネルを構築し、それを介して内部ネットワークにアクセスできます。
- SSH マシンへのキーをラップトップ上に置き、仮想ネットを介してマシン間を移動します。つまり、ルーターのキーは SSH マシン上にあります。
私の提案は、オプション 1 を使用し、そこから DMZ/LAN/VPN 内のすべての PC へのトンネルを構築する可能性を追加することです (iptables は現在アクティブです)。
あなたならどうしますか? 何か提案はありますか? もっと良い解決策はありますか?
答え1
注: これは、セキュリティに関心のある者としての私の個人的な意見です。私は専門家ではなく、資格も持っていません。
起こりうるセキュリティリスク:
DMZ 化された SSH サーバーは、セキュリティ上のリスクがあると思います。DMZ 化されたサーバーでは、ファイアウォールが、そのサーバーへの不明な接続や明示的にブロックされていない接続試行をそのまま通過させるため、そのサーバーはプローブされやすく、最悪の場合、攻撃を受けやすくなります。
推奨事項 #1
LAN 内に VPN サーバーを設置することを検討したことがありますか? この方法では、DMZ を削除し、VPN を使用した安全なトンネルを介して LAN の背後にアクセスすることができます。
プロ: VPN を使用すると、インターネットから LAN への安全で暗号化された接続が可能になります。VPN があれば DMZ は不要になるため、より安全になります。
欠点: VPN サーバーはセットアップが難しい場合があり、セットアップに費用がかかるため、IT 管理の複雑さがさらに増します。
すべての卵を 1 つのバスケットに入れる (すべての安全な SSH キーをラップトップに入れる) のは、必ずしも最善の方法とは言えません (シナリオ: ラップトップを紛失した場合)。ただし、TrueCrypt またはその他のソフトウェアを使用してディスク全体を暗号化することは常に可能です。そのため、ラップトップが手から離れた場合でも、少なくともデータは完全に暗号化され、悪意のある人物がそれらのデータを悪用することはできません。
VPNに投資するリソースや時間がない場合 - 既存のNASボックス(Synology、QNAP、または他のブランド)をお持ちの場合は、5月VPN サーバーはモジュールとして提供されており、ダウンロードして簡単にインストールおよびセットアップできます (これは私が所有し個人的にテストした Synology の場合に当てはまります)。
推奨事項 #2
または、VPN が本当に不可能な場合 (何らかの理由で)、リモート サポート ソフトウェアの使用を検討してください
(GotoAssist、TeamViewer、Logmein など)。LAN
内の信頼できるマシンにクライアントをインストールし、インターネットからそのマシンに接続するだけです。その後、そのマシンをジャンプ ポイントとして使用して、LAN 内のマシンの前に座っているかのように、どこにでも SSH で接続できます。
プロ: SSH キーを LAN 内の PC に保存できます。企業のファイアウォールの背後で保護されます。 欠点: インターネットから LAN への接続を許可するには、サードパーティのソフトウェアが必要です。また、このソフトウェアには料金がかかる場合があります。
個人的な経験: TeamViewer は間違いなく非常に使いやすく、個人使用には無料です。また、TeamViewer には VPN 経由で接続するオプションもあります (残念ながら個人的にはテストしていませんが、VPN ドライバーをインストールするオプションは見たことがあります)。これにより、接続が保護されるという利点が追加されます。
お役に立てれば。