SSH (sftp) Servidor - DMZ ou Port Forwarding?

0

Eu corro um servidor SSH na minha máquina principal. Quais são os riscos de segurança aqui e as vantagens / desvantagens do encaminhamento de porta ou de uma DMZ?

Além disso, existe uma maneira de encapsular um servidor SSH sem fazer alterações no roteador?

    
por FEA5T 07.08.2012 / 08:03

2 respostas

3

Riscos de segurança

O SSH opera em uma porta bem conhecida. Você pode reduzir o número de ataques criminosos mudando para um número de porta obscuro (mas note que a obscuridade não é segurança). Esses ataques são um incômodo que preenche arquivos de logs e usa recursos.

O maior risco é permitir a autenticação de senha no SSH. A maioria das tentativas de invasão tenta milhares de combinações de nomes de usuários populares ("root", "john" etc) e senhas populares. Mais cedo ou mais tarde eles vão adivinhar corretamente. A melhor solução é permitir somente logins baseados em chave e restringir logins a uma lista específica de IDs de usuário.

Port Forwarding vs DMZ

Alguns fornecedores de roteadores usaram mal o termo DMZ para significar encaminhamento de porta curinga. Estritamente falando, um DMZ é um segmento de LAN isolado em que você coloca servidores voltados para o público. Se esses servidores forem tomados por criminosos, os criminosos ainda não terão acesso à sua LAN interna (onde você guarda dados confidenciais ou valiosos). Eu usaria tanto o encaminhamento de porta quanto um DMZ verdadeiro, sempre que possível.

Tunelling para SSH sem encaminhamento de porta.

A única maneira é configurar um túnel invertido para um ponto de encontro externo.

    
por 07.08.2012 / 12:14
-1

Cheguei atrasado para isso, mas aqui está minha abordagem do senso comum.

No servidor SSH na DMZ:

  1. Desativar o acesso remoto à raiz
  2. Desativar autenticação de senha
  3. Alterar o número da porta SSH
  4. Coloque sua chave pública LONG RSA na pasta .ssh - chaves autorizadas de um usuário não raiz
  5. Obtenha a chave pública do servidor

Então, quando você se conectar: 1) Use sua chave privada RSA. 2) Sempre apresente a chave pública do servidor DMZ para a conexão SSH.

O usuário ao qual você se conecta pode ser configurado para o sudo. Mas mais seguro é su como root.

A chave pública impedirá ataques Man-In_middle. Nunca conecte cegamente a um endereço IP em uma DMZ. Nunca nunca nunca.

Você pode fazer tudo isso em massa.

Ou use um produto PPM como "EESM ForestSafe" para o Terminal Remoto com auditoria completa etc. Além disso, com um bom sistema PPM, se você estiver indo para o su route, poderá alterar a senha root após a conclusão da sessão. >

O SSH é bem documentado e sólido, e as chaves RSA longas ainda são imbatíveis.

Mantenha a simplicidade, a segurança que você entende sempre funciona melhor.

Boa sorte.

    
por 04.11.2016 / 21:09