Sicherer SSH-Tunnel mit Schlüsselauthentifizierung

0

Ich habe eine Maschine hinter einer großen Firewall und möchte über ssh darauf zugreifen können, ohne ein Loch in die Firewall zu stechen.

Also stelle ich SSH vom Computer hinter der Firewall auf meinen privaten Server um. Dann kann ich einfach in meinen privaten Server ssh und in den Computer tunneln, auf den ich zugreifen möchte.

Es gibt jedoch ein kleines Sicherheitsproblem. Um auf den Computer hinter der Firewall zuzugreifen, muss ich mich nur bei meinem privaten Server authentifizieren, wenn ich mich auch bei dem Computer hinter der Firewall authentifizieren möchte (privater Schlüssel oder Passwort).

Gibt es eine Möglichkeit, dies zu tun? Ich halte meinen privaten Server nicht für extrem sicher, daher möchte ich die sshd-Schutzschicht vor dem Computer hinter der Firewall schützen.

(Müssen Sie sich überhaupt beim privaten Server authentifizieren? Ich denke, vielleicht nicht. Dies ist also ein größeres Loch, als ich dachte.)

vonhogen
quelle

Antworten:

0

Ich denke, wenn Sie versuchen, nicht ein "Loch" in Ihre Firewall zu stechen, machen Sie die Lösung dunkler und weniger sicher, da Ihr nicht "extrem sicherer" Server der Schlüssel zum Königreich wird.

Persönlich würde ich mich viel sicherer fühlen, wenn ssh über die Firewall an den Server weitergeleitet würde, auf den Sie letztendlich zugreifen möchten. Im Idealfall sollte dieser Server nur die Authentifizierung mit privatem Schlüssel zulassen, keine Root-Anmeldungen zulassen und möglicherweise eine in iptables begrenzte SSH-Verbindungsrate aufweisen.

Denken Sie daran, shh soll sicher sein, und richtig verwendet Ich kann mir keinen Grund vorstellen, warum Sie eine "große Firewall" benötigen würden.

mrverrall
quelle
0

Wenn der interne Server zu empfindlich ist, um direkt mit dem Internet verbunden zu sein, verringert das Herstellen einer dauerhaft zugänglichen Verbindung über ein unsicheres externes Gerät Ihre Sicherheitslage.

Wenn auf diesen Server von außen zugegriffen werden muss, besteht das ideale Szenario darin, ein VPN an dem Standort zu verwenden, an dem er sich befindet, und dabei branchenübliche Zwei-Faktor-Authentifizierungsmethoden zu verwenden und den Zugriff auf bestimmte IP-Adressen zu beschränken.

Die von Ihnen gewählte Methode erweitert Ihren Sicherheitsbereich effektiv auf den "privaten Server" und die Sicherheitsarchitektur, mit der er geschützt wird.

Paul
quelle