Ich habe einen Server, auf dem einige vertrauliche Daten gespeichert werden. Derzeit ist der Zugriff auf den Server über SSH und nur einer einzigen Person möglich. Der Server befindet sich jedoch im selben Netzwerk wie viele andere Computer und hat eine IP aus demselben Bereich (allerdings durch eine Firewall geschützt).
Ich habe gelesen, dass eine zusätzliche Sicherheitsmaßnahme darin bestünde, sich über ein verschlüsseltes VPN mit dem Server zu verbinden und den Server somit nicht im selben Netzwerk wie andere Computer zu haben. Sollten wir in Zukunft die Sicherheit erweitern wollen, könnten wir Token-Authentifizierungen hinzufügen.
Kann mir bitte jemand sagen, ob das oben genannte machbar ist und ob die Einrichtung sinnvoll ist? Ich kann mir nicht vorstellen, wie das VPN funktionieren soll, ohne einen VPN-Router zu besorgen und mich darüber zu verbinden.
Jegliches Feedback und jeder Hinweis wäre hilfreich.
Antwort1
Ich stimme der ersten Antwort zu (wenn ich kommentieren könnte, würde ich es tun, aber ich kann nicht, also poste ich eine Antwort). Ein VPN ist höchstwahrscheinlich nicht die am besten geeignete Technologie für Ihre Situation. Nur SSH von einer Reihe bekannter Hosts zuzulassen, ist eine bessere Wahl. Um noch einen Schritt weiter zu gehen, würde ich den SSH-Server so konfigurieren, dass er keine Kennwortauthentifizierung zulässt und die Verwendung von SSH-Schlüsseln erzwingt. Dies fügt der Liste der Dinge, die ein potenzieller Angreifer benötigt, einen weiteren Punkt hinzu.
Allein durch die Verwendung von SSH und Firewall-Regeln bräuchte ein Angreifer:
- Ein Host mit einer erlaubten IP
- Ein gültiges Passwort
Wenn Sie dem SSH-Server sagen, dass er nur schlüsselbasierte Anmeldungen zulassen soll, benötigt ein Angreifer:
- Ein Host mit einer erlaubten IP
- Ihr SSH-Schlüssel
- Das Passwort für den SSH-Schlüssel
Es stellt lediglich eine weitere Hürde dar, die überwunden werden muss, um in Ihre Box einzudringen. Außerdem werden die Standard-Wörterbuchangriffe auf einen SSH-Port vollständig eliminiert. Ohne einen guten Schlüssel funktioniert kein noch so gutes Erraten von Passwörtern.
Antwort2
VPNs sind zwar großartig, Sie müssen jedoch dennoch über eine IP-Adresse im selben Netzwerk verfügen, in dem sich das VPN bereits befindet. Diese wäre lediglich auf die Abwicklung des VPN-Verbindungsverkehrs beschränkt.
Wenn Sie alle anderen Freigaben und Ports außer SSH ausschalten, ist die Sicherheit so hoch, wie sie ohne großen Mehraufwand vernünftigerweise erreicht werden kann.
Antwort3
Da ich einige ähnliche Probleme durcharbeite, möchte ich meinen Beitrag leisten.
Abhängig von den Gründen Ihrer Sicherheitsbedenken suchen Sie möglicherweise eines Tages nach einem Sicherheitsniveau, das auf einem Standard wie dem der Payment Card Industry (PCI) basiert. Um diese Anforderungen zu erfüllen und die sichersten Mittel für Zugriff und Einschränkung bereitzustellen, würde ich Folgendes empfehlen:
Verschieben Sie die sichere Maschine in ein separates Subnetz, das durch einen geeigneten Router mit Zugriffskontrolllisten (ACLs) getrennt ist. Verwenden Sie ACLs, um die IP-Adressen und Ports zu sperren, die Sie zusätzlich zu einer Stateful Inspection Firewall (IPTables ist mehr als fähig) auf die Maschine zugreifen lassen möchten. Stellen Sie sicher, dass es keinen direkten Pfad von nicht vertrauenswürdigen Netzwerken (z. B. dem Internet) zum sicheren Netzwerk gibt.
Als zusätzliche Ebene können Sie Verbindungen zum Computer natürlich nur über einen VPN-Verbindungsport zulassen (z. B. UDP 1194 für OpenVPN). Wenn Ihre Verbindung zum Computer jedoch nur über SSH erfolgt, kann ein zusätzlicher SSH-VPN-Tunnel als redundant angesehen werden.