Tengo la siguiente configuración:
Tengo un servidor que usa XEN para ejecutar varias máquinas virtuales. Todos ellos están conectados a varias redes (virtuales o físicas). Tengo Internet (los malos), una red DMZ y una red interna (solo los buenos). Separo las redes mediante enrutadores (virtuales) que evitan que se detenga el tráfico no autorizado.
Ahora quiero poder acceder a todas las máquinas a través de SSH tanto desde la LAN como desde Internet si es necesario realizar alguna reparación remota. Desde Internet, todo acceso SSH se redirige a una máquina en la DMZ. Ahora podría hacer dos cosas diferentes a partir de ahí:
- Tener las claves de todas las máquinas en mi computadora portátil (en algún lugar de Internet) y luego conectarme a la máquina SSH. Construyo un túnel hacia el enrutador interno y a través de él puedo acceder a la red interna.
- Tener la clave de mi máquina SSH en la computadora portátil y pasar de una máquina a otra a través de la red virtual. Entonces, la clave del enrutador está en la máquina SSH y así sucesivamente.
Mi propia sugerencia fue usar la opción 1 más la posibilidad de construir un túnel desde allí a cada PC en DMZ/LAN/VPN (iptables está activo en este momento).
¿Como lo harias? ¿Cuáles son tus sugerencias? ¿Existe incluso una solución mejor?
Respuesta1
Nota: Esta es mi opinión personal como alguien interesado en la seguridad. No soy un experto ni tengo ninguna calificación a mi nombre.
Posible riesgo de seguridad:
Creo que tener un servidor SSH con DMZ es un riesgo para la seguridad, ya que el servidor con DMZ significa que el firewall simplemente pasará cualquier intento de conexión desconocido/no bloqueado explícitamente a ese servidor, lo que significa que el servidor es propenso a sondearse y, en el peor de los casos, ataque.
Recomendación #1
¿Ha considerado tener un servidor VPN dentro de su LAN? De esta manera, puede eliminar la DMZ y seguir accediendo detrás de su LAN a través de un túnel seguro con VPN.
Pro: VPN permite una conexión segura y cifrada desde Internet a su LAN. Si tienes una VPN, no necesitarás DMZ, lo que significa que, con suerte, será más segura para ti.
Estafa: El servidor VPN puede ser difícil de configurar o requerir dinero para configurarlo, lo que agrega otra capa de complejidad para la administración de TI.
Y tener todos sus huevos en una sola canasta (todas sus claves SSH seguras en su computadora portátil) no es exactamente la mejor manera (Escenario: si pierde su computadora portátil), pero siempre puede tener un cifrado de disco completo con TrueCrypt u otro software, así que si Si alguna vez su computadora portátil sale de su mano, al menos sus datos estarán completamente encriptados y ningún malhechor podrá intentar abusar de esos datos.
Si no tiene los recursos o el tiempo para invertir en VPN: si tiene alguna caja NAS existente (Synology, QNAP u otra marca), ellospuedeTiene un servidor VPN como módulo que puede descargar para una instalación y configuración muy sencillas (esto es cierto para Synology que poseí y probé personalmente).
Recomendación #2
O si la VPN realmente no es posible (por cualquier motivo), ¿quizás considere un software de soporte remoto?
(GotoAssist, TeamViewer, Logmein, por nombrar algunos).
Instale el cliente en una máquina de confianza dentro de su LAN y simplemente conéctese a esa máquina desde Internet. Y luego, usando esa máquina como punto de partida, puede realizar SSH en todas partes, como si estuviera sentado frente a la máquina dentro de su LAN.
Pro: Puede guardar sus claves SSH en una PC DENTRO de su LAN. Protegido detrás de su firewall corporativo. Estafa: Se requiere un software de terceros para permitir la conexión de Internet a su LAN. Y el software puede costar dinero.
Experiencia personal: TeamViewer es definitivamente muy fácil de usar y gratuito para uso personal. Y también TeamViewer tiene una opción para conectarse a través de VPN (desafortunadamente no lo he probado personalmente, pero he visto la opción de instalar el controlador VPN): beneficio adicional de proteger su conexión.
Espero que esto ayude.