Tại sao sử dụng kết hợp SSH và VPN?

Chủ nhân của tôi yêu cầu tôi trước tiên đăng nhập vào VPN và chỉ sau đó tôi mới có thể SSH vào máy chủ. Nhưng, với sự bảo mật của SSH, liệu VPN có quá mức không?

Việc sử dụng VPN về mặt bảo mật là gì nếu tôi đang sử dụng SSH ?

Lý do đằng sau thiết lập hiện tại của bạn có lẽ là sự kết hợp của ba lý do sau.

VPN là một giải pháp bảo mật cho bên ngoài mạng của công ty bạn (Xem # 1 bên dưới) . Tuy nhiên, SSH có thể là lớp bảo mật thứ hai bên ngoài mạng của công ty bạn ... nhưng mục đích chính của nó là bảo mật lưu lượng trong mạng của công ty bạn (Xem # 2 bên dưới) . VPN cũng cần thiết nếu thiết bị bạn đang cố gắng SSH vào đang sử dụng địa chỉ riêng trên mạng công ty của bạn (Xem # 3 bên dưới) .

1. VPN tạo đường hầm đến mạng công ty của bạn mà bạn đẩy dữ liệu qua. Do đó, không ai nhìn thấy lưu lượng giữa bạn và mạng của công ty bạn thực sự có thể thấy những gì bạn đang gửi. Tất cả những gì họ nhìn thấy là đường hầm. Điều này ngăn những người bên ngoài mạng công ty chặn lưu lượng truy cập của bạn theo cách hữu ích.

2. SSH là một cách kết nối được mã hóa với các thiết bị trên mạng của bạn (trái ngược với Telnet, đây là văn bản rõ ràng). Các công ty thường yêu cầu kết nối SSH ngay cả trên mạng công ty vì mục đích bảo mật. Nếu tôi đã cài đặt phần mềm độc hại trên thiết bị mạng và bạn telnet vào thiết bị đó (ngay cả khi bạn đang đi qua đường hầm VPN - vì đường hầm VPN thường chấm dứt ở chu vi mạng của công ty), tôi có thể thấy tên người dùng và mật khẩu của bạn. Nếu đó là SSH bạn đang sử dụng, thì tôi không thể.

3. Nếu công ty của bạn đang sử dụng địa chỉ riêng cho mạng nội bộ, thì thiết bị bạn đang kết nối có thể không có khả năng định tuyến qua internet. Kết nối qua đường hầm VPN sẽ giống như bạn được kết nối trực tiếp trong văn phòng, do đó bạn sẽ sử dụng định tuyến nội bộ của mạng công ty không thể truy cập được ngoài mạng công ty.

SSH là một mục tiêu cực kỳ phổ biến cho các nỗ lực vũ phu. Nếu bạn có máy chủ SSH trực tiếp trên Internet, trong vòng vài phút, bạn sẽ thấy các lần thử đăng nhập với tất cả các loại tên người dùng (và mật khẩu) - thường là hàng ngàn mỗi ngày ngay cả trên các máy chủ nhỏ không đáng kể.

Bây giờ có thể làm cứng máy chủ SSH (ba cơ chế chính đang yêu cầu khóa SSH, từ chối quyền truy cập root vào SSH và nếu có thể hạn chế các địa chỉ IP thậm chí được phép kết nối). Tuy nhiên, cách tốt nhất để làm cứng máy chủ SSH là thậm chí không có sẵn trên Internet.

Tại sao nó quan trọng? Sau tất cả, SSH về cơ bản là an toàn, phải không? Vâng, vâng, nhưng nó chỉ an toàn như người dùng tạo ra - và chủ nhân của bạn có thể lo ngại về mật khẩu yếu và các khóa SSH bị đánh cắp.

Thêm VPN thêm một lớp bảo vệ bổ sung được kiểm soát ở cấp độ công ty, thay vì ở cấp độ máy chủ cá nhân như SSH.

Nói chung, tôi sẽ khen ngợi chủ nhân của bạn về việc thực hiện một số thực hành bảo mật tốt ở đây. Tại các chi phí của sự thuận tiện, tất nhiên (an ninh thường đi kèm với chi phí của sự thuận tiện).

VPN cho phép bạn kết nối với mạng riêng của chủ nhân và lấy địa chỉ IP của mạng riêng đó. Khi bạn đã kết nối với VPN, có vẻ như bạn đang sử dụng một trong các máy tính trong công ty - ngay cả khi bạn đang ở vị trí thực tế ở bên kia thế giới.

Rất có thể, chủ nhân của bạn yêu cầu bạn kết nối qua VPN trước tiên vì các máy chủ không thể truy cập được từ Internet (tức là họ không có địa chỉ IP công cộng), đây là một ý tưởng hay. VPN thêm một lớp bảo mật khác, như thể các máy chủ có thể truy cập công khai thông qua SSH, chúng sẽ dễ bị tấn công.

SSH là một giao thức mã hóa được sử dụng cho một số thứ. Mã hóa lưu lượng trong một đường hầm VPN là một trong số đó. Lưu lượng truy cập của bạn được mã hóa bằng SSH, nhưng sau đó nó cần được gói trong các gói IP (đường hầm) hợp lệ để truyền qua một mạng như Internet. Đường hầm này là VPN.

Về cơ bản, chủ nhân của bạn chặn lưu lượng truy cập mạng bên ngoài, để bảo mật, trừ khi lưu lượng đó đi qua VPN mà chủ nhân kiểm soát. VPN có thể hoặc không thể mã hóa nội dung của đường hầm. Sử dụng SSH sẽ mã hóa lưu lượng được mang trong đường hầm VPN.

Bạn cần VPN để vào mạng cục bộ.

Sau đó, bạn không cần bảo mật kết nối của mình với các máy chủ riêng lẻ, vì nó sẽ được mã hóa bởi liên kết VPN.

Tuy nhiên, làm thế nào khác bạn sẽ kết nối với họ? SSH là giao thức truy cập bảng điều khiển thực tế cho các máy chủ từ xa; cài đặt và cấu hình một thiết bị không bảo mật sẽ là chi phí quản lý bổ sung và giảm bảo mật trong mạng cục bộ (có thể có hoặc không có vấn đề).

Đừng quên, không phải mọi người ngay cả trong công ty cũng sẽ có toàn quyền truy cập vào mọi máy chủ và khả năng sử dụng mã hóa dựa trên khóa ngay cả trong mạng cục bộ cho phép quản trị viên mạng của bạn đảm bảo dễ dàng và an toàn rằng chỉ những người có vẻ bề ngoài biết họ là gì đang làm, ngay cả trong công ty, được phép chạm vào máy chủ.

Bạn cũng có thể lái các lớp bảo mật bổ sung thông qua VPN. Chẳng hạn như kiểm tra tiêu chí thiết bị, xác thực 2 yếu tố, v.v.

Lý do điển hình là bạn muốn giảm độ phơi sáng và các vectơ tấn công có thể càng xa càng tốt.

Nếu bạn bắt đầu từ tiền đề rằng cả SSH và VPN đều được yêu cầu (cho mục đích riêng của họ), thì cả hai phải đối mặt với bên ngoài có nghĩa là kẻ tấn công có hai tuyến tiềm năng vào môi trường của bạn. Nếu bạn tạo SSH chỉ cục bộ, nó sẽ thêm một lớp bổ sung cho bảo mật của máy chủ. Hãy xem xét các tình huống sau:

1. SSH + VPN bên ngoài. Attacker chỉ cần thỏa hiệp SSH để thỏa hiệp máy chủ.

2. SSH bên ngoài. Chức năng giống như kịch bản trước đó.

3. VPN bên ngoài (SSH nội bộ). Tăng gấp đôi về an ninh. Kẻ tấn công phải vượt qua cả hai trước khi chúng có thể làm bất cứ điều gì với máy chủ.

Hãy xem xét rằng bên cạnh thực tế là VPN sẽ không cần thiết cho các chức năng khác và có thể được cấu hình tốt hơn để truy cập bên ngoài và đó là điều không có trí tuệ.

Tôi sẽ nguy hiểm rằng câu trả lời chỉ đơn giản là NAT có liên quan và (như nhiều người khác đã tuyên bố) phơi bày máy chủ mục tiêu cuối cùng ra thế giới mời một điểm tấn công khác. Trừ khi bạn đang thực hiện chuyển dữ liệu hàng loạt với các khóa lớn, SSH thường không cản trở bạn. Nút thắt hầu như sẽ luôn là mạng. (Hầu hết! = Luôn luôn).

Nếu bạn 'may mắn' có IPv6 thì điều này dường như không phải là vấn đề, nhưng với IPv4 và không gian địa chỉ giới hạn thì NAT là (IMO) cuối cùng, điều tôi nghĩ là đằng sau 'chính sách' này hơn bất kỳ chính sách nào khác Bảo mật 'tình cờ' hoặc 'có mục đích'.

Theo cách hiểu hiện tại của tôi, SSH - vì đơn giản là nó sử dụng trao đổi khóa tcp để xác minh rằng người dùng khách có thông tin xác thực để truy cập ID người dùng trong máy chủ, dễ bị tấn công trong các cuộc tấn công trung gian nơi ISP hoặc bộ định tuyến bị xâm phạm có thể chặn yêu cầu bắt tay và đóng vai trò xác thực gửi, thực tế là chiếm quyền điều khiển kết nối. Điều này cho phép các lệnh được đưa vào luồng và sau đó đầu ra được lọc ra trước khi nó đến máy khách xác thực ban đầu, do đó ẩn người đàn ông trong lệnh tiêm giữa các lệnh tùy ý vào vỏ ssh của máy chủ.

Tuy nhiên bởi một đường hầm VPN cho phép một cái gì đó mà ssh không có. Một khóa mã hóa đối xứng được thỏa thuận trước. Điều này có nghĩa là lưu lượng giữa hai máy không dễ bị tấn công bởi người đàn ông trong cuộc tấn công trung gian vì lưu lượng, nếu bị chặn và chuyển tiếp thay mặt cho máy khách xác thực để kiểm soát lớp mã hóa ssl sẽ không thể vượt qua khóa mã hóa vpn yêu cầu bởi vì bên thứ ba sẽ không có khả năng giả mạo các khóa vpn giống như cách họ có thể điều khiển một người trung gian chuyển tiếp kết nối ssl tcp ssl.

Vì vậy, ssh không đủ tốt để ngăn chặn người đàn ông ở giữa ISP hoặc bộ định tuyến bị xâm phạm mà khách hàng phải trải qua để kết nối với máy chủ.