민감한 데이터를 보관할 서버가 있습니다. 현재 서버에 대한 액세스는 SSH를 통해 한 명으로만 제한되어 있습니다. 그러나 서버는 다른 많은 컴퓨터와 동일한 네트워크에 있으며 동일한 범위의 IP를 갖습니다(방화벽으로 보호됨).
추가 보안 조치는 암호화된 VPN을 통해 서버에 연결하여 다른 컴퓨터와 동일한 네트워크에 서버를 두지 않는 것이라는 내용을 읽었습니다. 나중에 보안을 확장하려면 토큰 인증을 추가할 수 있습니다.
위의 내용이 실현 가능한지, 설정하는 것이 합리적인지 알려주실 수 있나요? VPN 라우터를 구하지 않고 VPN이 작동하지 않고 이를 통해 연결하는 방식에 대해 머리를 숙일 수 없습니다.
모든 피드백과 조언이 도움이 될 것입니다.
답변1
첫 번째 답변에 동의합니다(댓글을 달 수 있다면 그렇게 하겠지만 댓글을 달 수 없어서 답변을 게시합니다). VPN은 귀하의 상황에 가장 적합한 기술이 아닐 가능성이 높습니다. 알려진 호스트 집합에서만 SSH를 허용하는 것이 더 나은 방법입니다. 그 이상으로 나아가기 위해 SSH 서버를 구성하여 비밀번호 인증을 허용하지 않고 SSH 키를 강제로 사용하도록 했습니다. 이는 잠재적인 공격자가 필요로 하는 항목 목록에 한 가지를 더 추가합니다.
SSH 및 방화벽 규칙을 사용하면 공격자에게 다음이 필요합니다.
- 허용된 IP를 가진 호스트
- 유효한 비밀번호
키 기반 로그인만 허용하도록 SSH 서버에 지시하는 경우 공격자에게는 다음이 필요합니다.
- 허용된 IP를 가진 호스트
- 귀하의 SSH 키
- SSH 키의 비밀번호
상자에 침입하기 위해 점프하는 데 또 다른 장애물이 추가됩니다. 또한 SSH 포트에 대한 표준 사전 공격을 완전히 제거합니다. 좋은 키가 없으면 비밀번호를 아무리 추측해도 작동하지 않습니다.
답변2
VPN이 훌륭하더라도 이미 연결되어 있는 동일한 네트워크에 IP 주소가 있어야 하지만 VPN 연결 트래픽을 처리하는 데만 제한됩니다.
SSH 이외의 다른 모든 공유 및 포트를 끄면 더 많은 노력을 들이지 않고도 합리적으로 얻을 수 있는 만큼 안전할 것입니다.
답변3
비슷한 문제를 해결하면서 의견을 제시하고 싶습니다.
보안 문제에 대한 이유에 따라 PCI(지불 카드 산업)와 같은 표준을 기반으로 한 보안 수준을 찾고 있을 수도 있습니다. 이러한 요구 사항을 충족하고 가장 안전한 액세스 및 제한 수단을 제공하려면 다음을 권장합니다.
ACL(액세스 제어 목록)이 가능한 적절한 라우터로 분리된 별도의 서브넷으로 보안 시스템을 이동합니다. ACL을 사용하여 상태 저장 검사 방화벽 외에도 시스템에 액세스하려는 IP 주소와 포트를 잠급니다(IPTables는 그 이상입니다). 신뢰할 수 없는 네트워크(예: 인터넷)에서 보안 네트워크로 직접 연결되는 경로가 없는지 확인하세요.
추가 수준의 경우 VPN 연결 포트(예: OpenVPN의 경우 UDP 1194)에서만 컴퓨터에 대한 연결을 허용할 수 있습니다. 그러나 컴퓨터에 대한 연결이 SSH를 통해서만 이루어지는 경우 추가 SSH VPN 터널은 중복된 것으로 간주될 수 있습니다.