Eu tenho a seguinte configuração:
Tenho um servidor usando XEN para rodar diversas máquinas virtuais. Todos eles estão conectados a diversas redes (virtuais ou físicas). Tenho internet (bandidos), uma rede DMZ e uma rede interna (só mocinhos). Separo as redes por roteadores (virtuais) que impedem a interrupção do tráfego não autorizado.
Agora quero poder acessar todas as máquinas via SSH, tanto dentro da LAN quanto da Internet, se necessário para fazer algum reparo remoto. Da internet, todo acesso SSH é redirecionado para uma máquina na DMZ. Agora eu poderia fazer duas coisas diferentes a partir daí:
- Tenha as chaves de todas as máquinas no meu laptop (em algum lugar da internet) e depois conecte-se à máquina SSH. Eu construo um túnel para o roteador interno e através dele consigo acessar a rede interna.
- Tenha a chave da minha máquina SSH no laptop e vá de máquina em máquina pela rede virtual. Portanto, a chave do roteador está na máquina SSH e assim por diante.
Minha sugestão foi usar a opção 1 mais a possibilidade de construir um túnel a partir daí para cada PC em DMZ/LAN/VPN (o iptables está ativo no momento).
Como você faria? Quais são as suas sugestões? Existe ainda uma solução melhor?
Responder1
Nota: Esta é minha opinião pessoal como alguém interessado em segurança. Não sou especialista, nem tenho qualquer qualificação em meu nome.
Possível risco de segurança:
Acredito que o fato de você ter um servidor SSH com DMZ é um risco à segurança, pois o servidor com DMZ significa que o firewall simplesmente passará qualquer tentativa de conexão desconhecida/não explicitamente bloqueada para esse servidor, o que significa que o servidor está sujeito a sondagens e, na pior das hipóteses, ataque.
Recomendação nº 1
Você já pensou em ter um servidor VPN em sua LAN? Dessa forma, você pode remover a DMZ e ainda acessar sua LAN por meio de um túnel seguro com VPN.
Pró: VPN permite conexão segura e criptografada da Internet para sua LAN. Se você tiver VPN, não precisará de DMZ – o que significa que será mais seguro para você.
Vigarista: o servidor VPN pode ser difícil de configurar ou exigir dinheiro para ser configurado, adicionando outra camada de complexidade ao gerenciamento de TI.
E ter todos os seus ovos em uma cesta (todas as suas chaves SSH seguras em seu laptop) não é exatamente a melhor maneira (Cenário: se você perder seu laptop) - mas você sempre pode ter uma criptografia completa de disco com TrueCrypt ou outro software, então se Se seu laptop sair de suas mãos, pelo menos seus dados serão totalmente criptografados e nenhum bandido poderá tentar abusar desses dados.
Se você não tem recursos/tempo para investir em VPN - Se você possui alguma caixa NAS existente (Synology, QNAP ou outra marca), elespoderiatenho um servidor VPN como um módulo que você pode baixar para uma instalação e configuração muito fáceis (isso é verdade para Synology que possuo e testei pessoalmente).
Recomendação nº 2
Ou se a VPN realmente não for possível (por qualquer motivo), talvez considere um software de suporte remoto?
(GotoAssist, TeamViewer, Logmein, para citar alguns).
Instale o cliente em uma máquina de sua confiança dentro de sua LAN e simplesmente conecte-se a essa máquina pela Internet. E então, usando essa máquina como ponto de salto, você pode usar SSH em qualquer lugar, como se estivesse sentado na frente da máquina dentro de sua LAN.
Pró: Você pode manter suas chaves SSH em um PC DENTRO de sua LAN. Protegido por trás do seu firewall corporativo. Vigarista: É necessário um software de terceiros para permitir a conexão da Internet à sua LAN. E o software pode custar dinheiro.
Experiência pessoal: O TeamViewer é definitivamente muito fácil de usar e gratuito para uso pessoal. E também o TeamViewer tem uma opção de conexão via VPN (infelizmente não testei isso pessoalmente, mas vi a opção de instalar o driver VPN) - benefício adicional de proteger sua conexão.
Espero que isto ajude.