機密データを保存するサーバーがあります。現在、サーバーへのアクセスは SSH 経由で 1 人のユーザーのみに制限されています。ただし、サーバーは他の多くのコンピューターと同じネットワーク上にあり、同じ範囲の IP を持っています (ただし、ファイアウォールで保護されています)。
セキュリティをさらに強化するには、暗号化された VPN 経由でサーバーに接続し、サーバーを他のコンピューターと同じネットワーク上に置かないようにするとよいと読んだことがあります。将来的にセキュリティを拡張する必要がある場合は、トークン認証を追加できます。
上記のことが実現可能かどうか、また設定する意味があるかどうかを教えてください。VPN ルーターを入手してそれを介して接続しない限り、VPN がどのように機能するのかわかりません。
あらゆるフィードバックやアドバイスが役に立ちます。
答え1
最初の回答に同意します (コメントできるならそうしたいのですが、できないので回答を投稿します)。VPN は、おそらく状況に最も適したテクノロジではありません。既知のホストのセットからの SSH のみを許可する方がよいでしょう。さらに一歩進んで、SSH サーバーを設定してパスワード認証を禁止し、SSH キーの使用を強制します。これにより、潜在的な攻撃者が必要とするもののリストにもう 1 つ追加されます。
SSH とファイアウォール ルールを使用するだけで、攻撃者は次のことが可能になります。
- 許可されたIPを持つホスト
- 有効なパスワード
SSH サーバーにキーベースのログインのみを許可するように指示した場合、攻撃者は次のものが必要になります。
- 許可されたIPを持つホスト
- SSHキー
- SSHキーのパスワード
ボックスに侵入するためのハードルが 1 つ増えるだけです。さらに、SSH ポートに対する標準的な辞書攻撃も完全に排除されます。適切なキーがなければ、パスワードをいくら推測しても効果はありません。
答え2
VPN は素晴らしいですが、すでに存在している同じネットワーク上の IP アドレスも必要です。VPN 接続トラフィックの処理に制限されます。
SSH 以外の共有とポートをすべてオフにすると、それほど手間をかけずに、合理的に可能な限りのセキュリティを実現できます。
答え3
いくつか同様の問題に取り組んでおり、私の意見を述べたいと思います。
セキュリティ上の懸念の理由によっては、将来的には、Payment Card Industry (PCI) などの標準に基づいたセキュリティ レベルを求めることになるかもしれません。これらの要件を満たし、最も安全なアクセスと制限の手段を提供するには、次のことをお勧めします。
安全なマシンを、アクセス制御リスト (ACL) が可能な適切なルーターで分離された別のサブネットに移動します。ステートフル インスペクション ファイアウォール (IPTables は十分に機能します) に加えて、ACL を使用して、マシンへのアクセスを許可する IP アドレスとポートをロックダウンします。信頼できないネットワーク (インターネットなど) から安全なネットワークへの直接パスがないことを確認します。
さらに、VPN 接続ポート (OpenVPN の場合は UDP 1194 など) のみでマシンへの接続を許可することもできますが、マシンへの接続が SSH 経由のみである場合は、追加の SSH VPN トンネルは冗長と見なされる可能性があります。