Acessando servidor Linux via VPN ou ssh baseado em certificado?

Question

Acessando servidor Linux via VPN ou ssh baseado em certificado?

#1 resposta do (1 votos)
#2 resposta do (0 votos)

0

Minha empresa possui uma configuração de segurança bastante comum, na qual você precisa fazer login via VPN, quando estiver fora da rede da empresa para obter acesso aos servidores. O bioma é principalmente máquinas Windows.

Estou trabalhando duro atualmente, configurando um ambiente Debian de repositório / build que precisa ser acessível do mundo externo. Eu configurei o ssh baseado em certificado usando o OpenSSH.

A minha pergunta é a seguinte:

Existe alguma segurança adicional ao usar a configuração da VPN em vez de apenas abrir a porta SSH para a Internet e permitir que os certificados SSH autentiquem os usuários?

Parece-me que deixar as pessoas que normalmente não estavam lá, dentro da VPN, acessar um único serviço está permitindo que o usuário tenha mais acesso do que o necessário. Mas eu não estou muito familiarizado com VPN, então, há algum benefício adicional que eu esteja perdendo?

ssh security vpn

por Martin Nielsen 24.09.2014 / 08:01

2 respostas

0

Não vejo segurança adicional, ambos têm o mesmo ponto de fraqueza que é uma porta aberta para o mundo.

por 24.09.2014 / 10:43

Tags ssh security vpn

NetBeans: Não é possível construir o projeto Java Alterando o layout do teclado no Scientific Linux 6.0 e criando novos atalhos de teclado?

score 1 · Accepted Answer

Usar VPN é mais seguro que abrir uma porta ssh para o mundo. Você pode fornecer aos usuários acesso a todas as máquinas, dentro de sua intranet, abrindo apenas uma porta para acesso VPN de fora. Você não precisa abrir, por exemplo, porta pública ssh em cada servidor. Os servidores estão completamente escondidos para o mundo, exceto um gateway de VPN. Eu acho melhor. E não importa se você quer dar a seus usuários acesso a serviços adicionais, ainda haverá uma porta VPN aberta para o mundo.

Obviamente, você também pode usar o firewall em todos os acessos dentro da sua intranet, se desejar. Além disso, se você abrir as portas SSH no servidor para o mundo externo, certamente precisará de alguma segurança extra, como batida de porta e fail2ban para parar a loucura nessa porta.

Assim, a VPN é apenas uma maneira melhor e mais flexível de acessar serviços locais para "guerreiros da estrada". Eu considero como boa prática usar, quase um padrão.