我有以下設定:
我有一台使用 XEN 的伺服器來運行多個虛擬機器。所有這些都連接到各種(虛擬或實體)網路。我有網路(壞人)、DMZ 網路和內部網路(只有好人)。我透過(虛擬)路由器分隔網絡,以防止未經授權的流量被阻止。
現在,如果需要進行一些遠端修復,我希望能夠透過 SSH 從 LAN 內部和互聯網存取所有電腦。所有 SSH 存取都從網際網路重新導向到 DMZ 中的電腦。現在我可以做兩件不同的事情:
- 將所有機器的金鑰放在我的筆記型電腦上(在網路上的某個地方),然後連接到 SSH 機器。我建立了一條通往內部路由器的隧道,透過它我可以存取內部網路。
- 將我的 SSH 機器的金鑰放在筆記型電腦上,然後透過虛擬網路從一台機器轉到另一台機器。所以路由器的關鍵在 SSH 機器上等等。
我自己的建議是使用選項 1 以及從那裡構建到 DMZ/LAN/VPN 中每台 PC 的隧道的可能性(iptables 目前處於活動狀態)。
你會怎麼做?您有什麼建議?還有更好的解決方案嗎?
答案1
註:這是我作為對安全感興趣的人的個人觀點。我不是專家,我名下也沒有任何資格。
可能的安全風險:
我相信您擁有DMZ ed SSH 伺服器存在安全風險,因為DMZ ed 伺服器意味著防火牆將簡單地將任何未知/未明確阻止的連接嘗試傳遞到該伺服器,這意味著伺服器很容易被偵測,最壞的情況,攻擊。
建議#1
您是否考慮過在 LAN 內安裝 VPN 伺服器?透過這種方式,您可以刪除 DMZ,並且仍然可以透過具有 VPN 的安全隧道存取 LAN 後面。
專業版:VPN 允許從網際網路到 LAN 的安全、加密連線。如果您有 VPN,則不需要 DMZ - 這意味著它對您來說會更安全。
騙局:VPN 伺服器可能難以設置,或需要資金才能設置,並為 IT 管理增加了另一層複雜性。
將所有雞蛋放在1 個籃子中(筆記型電腦中的所有安全SSH 密鑰)並不完全是最好的方法(場景:如果您丟失了筆記型電腦) - 但您始終可以使用TrueCrypt 或其他軟體進行全磁碟加密,因此如果當您的筆記型電腦離開您的手時,至少您的資料將完全加密,並且沒有壞人可以嘗試濫用這些資料。
如果您沒有資源/時間來投資 VPN - 如果您有一些現有的 NAS 盒(Synology、QNAP 或其他品牌),它們可能將 VPN 伺服器作為一個模組,您可以下載該模組,以便非常輕鬆地安裝和設定(對於我擁有並親自測試過的 Synology 也是如此)。
建議#2
或者,如果 VPN 確實不可能(無論出於何種原因),那麼也許可以考慮使用遠端支援軟體?
(GotoAssist、TeamViewer、Logmein 等等)。
將用戶端安裝在 LAN 內您信任的電腦上,然後只需從 Internet 連接到該電腦即可。然後使用機器作為跳躍點,您可以在任何地方使用 SSH,就好像您坐在 LAN 內的機器前面一樣。
專業版:您可以將 SSH 金鑰儲存在 LAN 內的 PC 中。受到公司防火牆的保護。 騙局:需要第 3 方軟體才能允許從網路連線到您的 LAN。而且該軟體可能要花錢。
個人體驗:TeamViewer 絕對非常好用,而且免費供個人使用。 TeamViewer 還具有透過 VPN 連接的選項(不幸的是,我沒有親自測試過這一點,但我看到了安裝 VPN 驅動程式的選項) - 保護連接的額外好處。
希望這可以幫助。