Ich habe folgendes Setup:
Ich habe einen Server, auf dem ich mehrere virtuelle Maschinen mit XEN betreibe. Alle sind mit verschiedenen (virtuellen oder physischen) Netzwerken verbunden. Ich habe das Internet (die Bösen), ein DMZ-Netzwerk und ein internes Netzwerk (nur die Guten). Ich trenne die Netzwerke durch (virtuelle) Router, die verhindern, dass unbefugter Datenverkehr gestoppt wird.
Nun möchte ich per SSH auf alle Rechner sowohl aus dem LAN als auch aus dem Internet zugreifen können, um bei Bedarf eine Fernreparatur durchzuführen. Vom Internet aus werden alle SSH-Zugriffe auf einen Rechner in der DMZ umgeleitet. Von da an könnte ich zwei verschiedene Dinge tun:
- Habe die Schlüssel zu allen Rechnern auf meinem Laptop (irgendwo im Internet) und verbinde mich dann mit dem SSH-Rechner. Ich baue einen Tunnel zum internen Router und kann darüber auf das interne Netzwerk zugreifen.
- Habe den Schlüssel zu meiner SSH-Maschine auf dem Laptop und gehe von Maschine zu Maschine durch das virtuelle Netz. Der Schlüssel für den Router liegt also auf der SSH-Maschine und so weiter.
Mein eigener Vorschlag war, Option 1 zu verwenden, plus die Möglichkeit, von dort aus einen Tunnel zu jedem PC in DMZ/LAN/VPN aufzubauen (iptables ist derzeit aktiv).
Wie würdet ihr es machen? Was sind eure Vorschläge? Gibt es vielleicht sogar eine bessere Lösung?
Antwort1
Hinweis: Dies ist meine persönliche Meinung als jemand, der sich für Sicherheit interessiert. Ich bin kein Experte und verfüge auch nicht über eine Qualifikation.
Mögliches Sicherheitsrisiko:
Ich bin der Meinung, dass Ihr SSH-Server in einer DMZ ein Sicherheitsrisiko darstellt, da die Firewall bei einem DMZ-Server einfach alle unbekannten/nicht explizit blockierten Verbindungsversuche zu diesem Server durchlässt. Dadurch ist der Server anfällig für Ausforschungen und im schlimmsten Fall für Angriffe.
Empfehlung Nr. 1
Haben Sie schon einmal darüber nachgedacht, einen VPN-Server in Ihrem LAN einzurichten? Auf diese Weise können Sie die DMZ entfernen und trotzdem über einen sicheren Tunnel mit VPN auf Ihr LAN zugreifen.
Profi: VPN ermöglicht eine sichere, verschlüsselte Verbindung vom Internet zu Ihrem LAN. Wenn Sie VPN haben, brauchen Sie keine DMZ – was hoffentlich bedeutet, dass es für Sie sicherer ist.
Nachteil: Die Einrichtung eines VPN-Servers kann schwierig oder kostenintensiv sein und eine zusätzliche Komplexitätsebene für die IT-Verwaltung darstellen.
Und alles auf eine Karte zu setzen (alle Ihre sicheren SSH-Schlüssel auf Ihrem Laptop) ist nicht unbedingt die beste Lösung (Szenario: Sie verlieren Ihren Laptop) – Sie können jedoch jederzeit eine vollständige Festplattenverschlüsselung mit TrueCrypt oder einer anderen Software durchführen, sodass Ihre Daten zumindest vollständig verschlüsselt sind, wenn Sie Ihren Laptop jemals aus der Hand geben, und kein Bösewicht versuchen kann, diese Daten zu missbrauchen.
Wenn Sie nicht über die Ressourcen / Zeit verfügen, um in VPN zu investieren - Wenn Sie eine vorhandene NAS-Box (Synology, QNAP oder eine andere Marke) haben,Maiverfügen über einen VPN-Server als Modul, das Sie herunterladen können, um es ganz einfach zu installieren und einzurichten (das gilt für die Synology, die ich besaß und persönlich getestet habe).
Empfehlung Nr. 2
Oder wenn VPN wirklich nicht möglich ist (aus welchem Grund auch immer) – dann sollten Sie vielleicht eine Fernsupport-Software in Betracht ziehen?
(GotoAssist, TeamViewer, Logmein, um nur einige zu nennen).
Installieren Sie den Client auf einem Rechner, dem Sie in Ihrem LAN vertrauen, und stellen Sie einfach über das Internet eine Verbindung zu diesem Rechner her. Und wenn Sie diesen Rechner dann als Ausgangspunkt verwenden, können Sie überall per SSH eine Verbindung herstellen, als ob Sie vor dem Rechner in Ihrem LAN sitzen würden.
Profi: Sie können Ihre SSH-Schlüssel auf einem PC INNERHALB Ihres LAN aufbewahren. Geschützt hinter der Firewall Ihres Unternehmens. Nachteil: Um die Verbindung vom Internet zu Ihrem LAN zu ermöglichen, ist eine Drittanbietersoftware erforderlich. Diese kann kostenpflichtig sein.
Persönliche Erfahrung: TeamViewer ist definitiv sehr einfach zu verwenden und für den persönlichen Gebrauch kostenlos. Außerdem bietet TeamViewer eine Option zur Verbindung über VPN (leider habe ich dies nicht persönlich getestet, aber ich habe die Option zur Installation eines VPN-Treibers gesehen) – der zusätzliche Vorteil der Sicherung Ihrer Verbindung.
Hoffe das hilft.