나는 다음과 같은 설정을 가지고 있습니다 :
여러 가상 머신을 실행하기 위해 XEN을 사용하는 서버가 있습니다. 이들 모두는 다양한(가상 또는 물리적) 네트워크에 연결되어 있습니다. 나는 인터넷(나쁜 놈들), DMZ 네트워크, 내부 네트워크(좋은 놈들만)를 갖고 있습니다. 무단 트래픽이 차단되는 것을 방지하는 (가상) 라우터로 네트워크를 분리합니다.
이제 원격 수리가 필요한 경우 LAN 내부와 인터넷 모두에서 SSH를 통해 모든 시스템에 액세스할 수 있기를 원합니다. 인터넷에서 모든 SSH 액세스는 DMZ의 시스템으로 리디렉션됩니다. 이제 거기서부터 두 가지 다른 작업을 수행할 수 있습니다.
- 내 노트북(인터넷 어딘가)에 있는 모든 컴퓨터에 대한 키를 갖고 SSH 컴퓨터에 연결합니다. 내부 라우터에 대한 터널을 구축하고 이를 통해 내부 네트워크에 액세스할 수 있습니다.
- 랩탑에 내 SSH 시스템에 대한 키가 있고 가상 네트워크를 통해 시스템 간에 이동합니다. 따라서 라우터의 키는 SSH 시스템 등에 있습니다.
내 제안은 옵션 1과 DMZ/LAN/VPN의 모든 PC에 대한 터널을 구축할 수 있는 가능성을 사용하는 것이었습니다(iptables는 현재 활성화되어 있습니다).
어떻게 하시겠습니까? 당신의 제안은 무엇입니까? 더 나은 해결책이 있습니까?
답변1
참고: 이는 보안에 관심이 있는 개인의 의견입니다. 나는 전문가도 아니고 내 이름으로 된 자격도 없습니다.
가능한 보안 위험:
DMZ가 적용된 SSH 서버를 사용하는 것은 보안 위험이 있다고 생각합니다. DMZ가 적용된 서버는 방화벽이 해당 서버에 대한 알 수 없거나 명시적으로 차단되지 않은 연결 시도를 단순히 전달하므로 서버가 검색되기 쉽고 최악의 경우, 공격.
권장사항 #1
LAN 내에 VPN 서버를 두는 것을 고려해 보셨나요? 이렇게 하면 DMZ를 제거하고 VPN이 포함된 보안 터널을 통해 LAN 뒤에서 계속 액세스할 수 있습니다.
찬성: VPN을 사용하면 인터넷에서 LAN까지 안전하고 암호화된 연결을 사용할 수 있습니다. VPN이 있으면 DMZ가 필요하지 않습니다. 즉, VPN이 더 안전할 것이라는 뜻입니다.
범죄자: VPN 서버는 설정이 어렵거나 설정하는 데 비용이 필요할 수 있으며 IT 관리에 또 다른 복잡성을 가중시킵니다.
모든 달걀을 한 바구니에 담는 것(모든 보안 SSH 키는 노트북에 있음)은 정확히 최선의 방법은 아닙니다(시나리오: 노트북을 분실한 경우). 하지만 TrueCrypt 또는 기타 소프트웨어를 사용하면 언제든지 전체 디스크 암호화를 사용할 수 있습니다. 노트북이 손에서 떠나는 경우라도 최소한 데이터는 완전히 암호화되어 악당이 해당 데이터를 남용하려고 시도할 수 없습니다.
VPN에 투자할 리소스/시간이 없는 경우 - 기존 NAS 상자(Synology, QNAP 또는 기타 브랜드)가 있는 경우5월매우 쉽게 설치하고 설정할 수 있도록 다운로드할 수 있는 모듈로 VPN 서버가 있습니다(이것은 제가 소유하고 개인적으로 테스트한 Synology의 경우에 해당됩니다).
권장사항 #2
또는 어떤 이유로든 VPN이 실제로 불가능하다면 원격 지원 소프트웨어를 고려해 볼까요?
(예를 들어 GotoAssist, TeamViewer, Logmein).
LAN 내부에서 신뢰하는 컴퓨터에 클라이언트를 설치하고 인터넷에서 해당 컴퓨터에 연결하기만 하면 됩니다. 그런 다음 해당 머신을 점프 포인트로 사용하면 마치 LAN 내부의 머신 앞에 앉아 있는 것처럼 어디서나 SSH를 사용할 수 있습니다.
찬성: LAN 내부의 PC에 SSH 키를 보관할 수 있습니다. 회사 방화벽 뒤에 안전하게 보호됩니다. 범죄자: 인터넷에서 LAN으로의 연결을 허용하려면 타사 소프트웨어가 필요합니다. 그리고 소프트웨어에는 비용이 들 수 있습니다.
개인적인 경험: TeamViewer는 확실히 사용하기 매우 쉽고 개인적인 용도로는 무료입니다. 또한 TeamViewer에는 VPN을 통해 연결할 수 있는 옵션이 있습니다. (안타깝게도 이것을 직접 테스트하지는 않았지만 VPN 드라이버를 설치하는 옵션을 보았습니다) - 연결 보안의 추가 이점이 있습니다.
도움이 되었기를 바랍니다.