Cách tốt nhất để đảm bảo an ninh trong đa mạng là gì?

Tôi có các thiết lập sau:

Tôi có một máy chủ sử dụng XEN để chạy một số máy ảo. Tất cả chúng được kết nối với các mạng (ảo hoặc vật lý) khác nhau. Tôi có internet (kẻ xấu), mạng DMZ và mạng nội bộ (chỉ những người tốt). Tôi tách các mạng bằng các bộ định tuyến (ảo) để ngăn chặn lưu lượng truy cập trái phép.

Bây giờ tôi muốn có thể truy cập vào tất cả các máy thông qua SSH từ cả bên trong mạng LAN và internet nếu cần thực hiện một số sửa chữa từ xa. Từ internet, tất cả các tài khoản SSH được chuyển hướng đến một máy trong DMZ. Bây giờ tôi có thể làm hai điều khác nhau từ đó:

1. Có chìa khóa cho tất cả các máy trên máy tính xách tay của tôi (ở đâu đó trên internet) và sau đó kết nối với máy SSH. Tôi xây dựng một đường hầm đến bộ định tuyến nội bộ và thông qua đó tôi có thể truy cập mạng nội bộ.
2. Có chìa khóa cho máy SSH của tôi trên máy tính xách tay và đi từ máy này sang máy khác qua mạng ảo. Vì vậy, chìa khóa cho bộ định tuyến là trên máy SSH và như vậy.

Đề xuất của riêng tôi là sử dụng tùy chọn 1 cộng với khả năng xây dựng một đường hầm từ đó đến mọi PC trong DMZ / LAN / VPN (iptables đang hoạt động tại thời điểm này).

Bạn sẽ làm điều này như thế nào? Đề xuất của bạn là gì? Có một giải pháp tốt hơn?

Lưu ý: Đây là ý kiến ​​cá nhân của tôi với tư cách là người quan tâm đến bảo mật. Tôi không phải là một chuyên gia, cũng không có bất kỳ bằng cấp nào dưới tên của tôi.

Rủi ro bảo mật có thể xảy ra:
Tôi tin rằng bạn có máy chủ SSH DMZ-ed là rủi ro bảo mật vì máy chủ DMZ-ed có nghĩa là tường lửa sẽ đơn giản chuyển bất kỳ nỗ lực kết nối không xác định / không bị chặn rõ ràng nào đến máy chủ đó, điều đó có nghĩa là máy chủ dễ bị thăm dò, và trường hợp xấu nhất, tấn công.

Khuyến nghị số 1
Bạn đã cân nhắc việc có máy chủ VPN trong mạng LAN chưa? Bằng cách này, bạn có thể xóa DMZ và vẫn truy cập phía sau mạng LAN của mình thông qua một đường hầm an toàn với VPN.

Pro : VPN cho phép kết nối được mã hóa an toàn từ internet đến mạng LAN của bạn. Nếu bạn có VPN, bạn sẽ không cần DMZ - điều đó có nghĩa là hy vọng nó sẽ an toàn hơn cho bạn.

Con : Máy chủ VPN có thể khó thiết lập hoặc cần tiền để thiết lập và thêm một lớp phức tạp khác cho quản lý CNTT.

Và có tất cả trứng trong 1 giỏ (tất cả các khóa SSH an toàn trong máy tính xách tay của bạn) không phải là cách tốt nhất (Kịch bản: Nếu bạn mất máy tính xách tay) - nhưng bạn luôn có thể mã hóa toàn bộ đĩa bằng TrueCrypt hoặc phần mềm khác. máy tính xách tay của bạn đã rời khỏi tay bạn, ít nhất dữ liệu của bạn sẽ được mã hóa hoàn toàn và không kẻ xấu nào có thể cố gắng lạm dụng những dữ liệu đó.

Nếu bạn không có tài nguyên / thời gian để đầu tư vào VPN - Nếu bạn có một số hộp NAS hiện có (Synology, QNAP hoặc nhãn hiệu khác), họ có thể có máy chủ VPN dưới dạng mô-đun mà bạn có thể tải xuống để cài đặt và cài đặt rất dễ dàng (điều này đúng với Synology mà tôi sở hữu và đã thử nghiệm cá nhân).

Khuyến nghị # 2
Hoặc nếu VPN thực sự không thể (vì lý do nào) - thì có lẽ nên xem xét một phần mềm hỗ trợ từ xa?
(GotoAssist, TeamViewer, Logmein để đặt tên cho một số ít).
Cài đặt ứng dụng khách trên máy bạn tin tưởng bên trong mạng LAN và chỉ cần kết nối với máy đó từ internet. Và sau đó sử dụng máy đó làm điểm nhảy của bạn, bạn có thể SSH ở mọi nơi, như thể bạn đang ngồi trước máy bên trong mạng LAN của mình.

Pro : Bạn có thể giữ các khóa SSH của mình trong PC TRONG mạng LAN. Bảo mật đằng sau tường lửa công ty của bạn. Con : Cần có phần mềm của bên thứ 3 để cho phép kết nối từ Internet vào mạng LAN của bạn. Và phần mềm có thể tốn tiền.

Trải nghiệm cá nhân: TeamViewer chắc chắn rất dễ sử dụng và miễn phí cho sử dụng cá nhân. Và TeamViewer cũng có một tùy chọn để kết nối qua VPN (Thật không may, tôi chưa thử nghiệm cá nhân điều này, nhưng tôi đã thấy tùy chọn cài đặt trình điều khiển VPN) - thêm lợi ích của việc bảo mật kết nối của bạn.

Hi vọng điêu nay co ich.