Tengo un servidor que contendrá algunos datos confidenciales. De momento, el acceso al servidor está restringido vía SSH y únicamente a una única persona. Sin embargo, el servidor está en la misma red que muchas otras computadoras y tiene una IP del mismo rango (aunque protegida por un firewall).
He leído que una medida adicional de seguridad sería conectarse al servidor a través de una VPN cifrada y así no tener el servidor en la misma red que otras computadoras. Si en el futuro quisiéramos ampliar la seguridad, podríamos agregar autenticaciones de token.
¿Alguien podría decirme si lo anterior es factible y si tiene sentido configurarlo? No puedo entender cómo funcionaría la VPN sin conseguir un enrutador VPN y conectarme a través de él.
Cualquier comentario y sugerencia sería útil.
Respuesta1
Estoy de acuerdo con la primera respuesta (si pudiera comentar, lo haría, pero no puedo, así que publicaré una respuesta). Lo más probable es que una VPN no sea la tecnología más adecuada para su situación. Sólo permitir SSH desde un conjunto de hosts conocidos es una mejor apuesta. Para ir un paso más allá, configuraría el servidor SSH para no permitir la autenticación de contraseña y forzar el uso de claves ssh. Esto añade una cosa más a la lista de cosas que un atacante potencial necesita.
Con solo usar SSH y reglas de firewall, un atacante necesitaría:
- Un host con una IP permitida
- Una contraseña válida
Si le dice al servidor SSH que solo permita inicios de sesión basados en claves, un atacante necesitaría:
- Un host con una IP permitida
- Tu clave ssh
- La contraseña de la clave ssh
Simplemente agrega otro obstáculo que saltar para entrar en tu caja. Además, elimina por completo los ataques de diccionario estándar contra un puerto ssh. Sin una buena clave, ninguna adivinanza de contraseña funcionará.
Respuesta2
Aunque las VPN son excelentes, aún necesitarás tener una dirección IP en la misma red en la que ya estás, solo estaría restringida a manejar el tráfico de la conexión VPN.
Si desactiva todos los demás puertos y uso compartido que no sean SSH, será lo más seguro posible sin mucho más esfuerzo.
Respuesta3
Al resolver algunos problemas similares, me gustaría dar mi opinión.
Dependiendo de los motivos de sus preocupaciones de seguridad, es posible que algún día busque un nivel de seguridad basado en un estándar como el de la industria de tarjetas de pago (PCI). Para cumplir con estos requisitos y proporcionar los medios más seguros de acceso y restricción, recomendaría lo siguiente:
Mueva la máquina segura a una subred separada con un enrutador adecuado capaz de tener listas de control de acceso (ACL). Utilice ACL para bloquear las direcciones IP y los puertos a los que desea tener acceso en la máquina, además de un firewall de inspección de estado (IPTables es más que capaz). Asegúrese de que no haya una ruta directa a la red segura desde redes que no sean de confianza (es decir, Internet).
Para un nivel adicional, ciertamente puede permitir conexiones a la máquina solo en un puerto de conexión VPN (como UDP 1194 para OpenVPN), aunque si su conectividad a la máquina es solo a través de SSH, un túnel VPN SSH adicional puede considerarse redundante.