Eu tenho um servidor que armazena alguns dados confidenciais. No momento, o acesso ao servidor é restrito via SSH e apenas a uma única pessoa. No entanto, o servidor está na mesma rede que muitos outros computadores e possui um IP do mesmo intervalo (embora protegido por um firewall).
Li que uma medida adicional de segurança seria conectar-se ao servidor por meio de uma VPN criptografada e, portanto, não ter o servidor na mesma rede que outros computadores. Se no futuro quisermos expandir a segurança, poderemos adicionar autenticações de token.
Alguém poderia me dizer se o acima é viável e se faz sentido configurar? Não consigo imaginar como a VPN funcionaria sem conseguir um roteador VPN e conectar-se por meio dele.
Qualquer feedback e sugestões seriam úteis.
Responder1
Concordo com a primeira resposta (se pudesse comentar, comentaria, mas não posso, por isso estou postando uma resposta). Provavelmente, uma VPN não é a tecnologia mais adequada para a sua situação. Permitir SSH apenas de um conjunto de hosts conhecidos é uma aposta melhor. Para dar um passo além disso, eu configuraria o servidor SSH para proibir a autenticação de senha e forçaria o uso de chaves ssh. Isso adiciona mais uma coisa à lista de coisas que um invasor em potencial precisa.
Apenas usando regras de SSH e firewall, um invasor precisaria:
- Um host com um IP permitido
- Uma senha válida
Se você disser ao servidor SSH para permitir apenas logins baseados em chave, um invasor precisará:
- Um host com um IP permitido
- Sua chave ssh
- A senha para a chave ssh
Isso apenas adiciona outro obstáculo para pular e entrar em sua caixa. Além disso, elimina completamente os ataques de dicionário padrão contra uma porta ssh. Sem uma boa chave, nenhuma tentativa de adivinhação de senha funcionará.
Responder2
Embora as VPNs sejam ótimas, você ainda precisará ter um endereço IP na mesma rede em que já está, ele estaria restrito apenas a lidar com o tráfego da conexão VPN.
Se você desativar todos os outros compartilhamentos e portas além do SSH, será o mais seguro possível sem muito mais esforço.
Responder3
Trabalhando em alguns problemas semelhantes, gostaria de dar minha opinião.
Dependendo dos motivos de suas preocupações com segurança, você poderá um dia procurar um nível de segurança baseado em um padrão como o da Indústria de Cartões de Pagamento (PCI). Para atender a esses requisitos e fornecer os meios mais seguros de acesso e restrição, recomendo o seguinte:
Mova a máquina segura para uma sub-rede separada, separada por um roteador adequado capaz de listas de controle de acesso (ACLs). Use ACLs para bloquear os endereços IP e portas que você deseja ter acesso à máquina, além de um firewall de inspeção com estado (IPTables é mais do que capaz). Certifique-se de que não existe um caminho direto para a rede segura proveniente de redes não confiáveis (ou seja, a Internet).
Para um nível extra, você certamente pode permitir conexões com a máquina apenas em uma porta de conexão VPN (como UDP 1194 para OpenVPN), embora se sua conectividade com a máquina for apenas via SSH, um túnel VPN SSH adicional pode ser considerado redundante.