У меня есть сервер, на котором будут храниться некоторые конфиденциальные данные. В данный момент доступ к серверу ограничен по SSH и только для одного человека. Однако сервер находится в той же сети, что и многие другие компьютеры, и имеет IP из того же диапазона (хотя и защищенный брандмауэром).
Я читал, что дополнительной мерой безопасности было бы подключение к серверу через зашифрованный VPN и, таким образом, сервер не должен находиться в той же сети, что и другие компьютеры. Если в будущем мы захотим расширить безопасность, мы могли бы добавить аутентификации токенов.
Может кто-нибудь подскажет, осуществимо ли вышеизложенное и имеет ли смысл настраивать? Я не могу понять, как будет работать VPN, если не купить VPN-маршрутизатор и не подключаться через него.
Любые отзывы и указания будут полезны.
решение1
Я согласен с первым ответом (если бы я мог прокомментировать, я бы это сделал, но я не могу, поэтому публикую ответ). VPN, скорее всего, не самая подходящая технология для вашей ситуации. Разрешение SSH только из набора известных хостов — лучший выбор. Чтобы пойти еще дальше, я бы настроил сервер SSH на запрет аутентификации по паролю и принудительное использование ключей SSH. Это добавляет еще одну вещь в список вещей, которые нужны потенциальному злоумышленнику.
Используя только SSH и правила брандмауэра, злоумышленнику понадобится:
- Хост с разрешенным IP
- Действительный пароль
Если вы укажете SSH-серверу разрешать вход только на основе ключей, злоумышленнику понадобится:
- Хост с разрешенным IP
- Ваш ssh-ключ
- Пароль к ключу ssh
Это просто добавляет еще одно препятствие для прыжка, чтобы взломать ваш ящик. Плюс, это полностью исключает стандартные атаки по словарю на порт ssh. Без хорошего ключа никакое количество попыток угадать пароль не сработает.
решение2
Хотя VPN — это замечательно, вам все равно придется иметь IP-адрес в той же сети, в которой он уже находится. Он будет ограничен только обработкой трафика VPN-подключения.
Если вы отключите все остальные порты и общий доступ, кроме SSH, то безопасность будет настолько разумной, насколько это вообще возможно, без особых усилий.
решение3
Разбираясь с некоторыми похожими проблемами, я хотел бы внести свой вклад.
В зависимости от причин ваших опасений по поводу безопасности вы, возможно, когда-нибудь будете искать уровень безопасности, основанный на стандарте, например, в индустрии платежных карт (PCI). Чтобы соответствовать этим требованиям и обеспечить наиболее безопасные средства доступа и ограничения, я бы рекомендовал следующее:
Переместите защищенную машину в отдельную подсеть, отделенную соответствующим маршрутизатором, поддерживающим списки контроля доступа (ACL). Используйте ACL для блокировки IP-адресов и портов, к которым вы хотите получить доступ к машине, в дополнение к межсетевому экрану с проверкой состояния (IPTables более чем способен). Убедитесь, что нет прямого пути к защищенной сети из ненадежных сетей (например, Интернета).
Для дополнительного уровня вы, конечно, можете разрешить подключения к машине только через порт VPN-подключения (например, UDP 1194 для OpenVPN), хотя если ваше подключение к машине осуществляется только через SSH, дополнительный туннель SSH VPN может считаться избыточным.