Was bedeutet bandexterner Zugriff auf einen Server?

1

Wenn ich zum ersten Mal mit einer neuen Installation von Filezilla oder Putty auf meinen Server zugreife, werde ich aufgefordert, den Vorgang nur fortzusetzen, wenn der angezeigte RSA-Schlüssel korrekt ist. Der Cloud-Anbieter hat auf seiner Website den Rat gegeben, dass ich die AJAX-Konsole verwenden sollte, um einen Schlüssel außerhalb des Bandes zu erhalten, der mit dem von Filezilla verglichen werden kann.

Die AJAX-Konsole wird über einen Link auf der Website des Cloud-Anbieters gestartet, für den eine Anmeldung erforderlich ist. Wie wird diese AJAX-Konsole als Out-of-Band angesehen, wenn es sich offensichtlich nicht um eine Form des physischen Zugriffs auf den Server handelt?

security rsa H2ONaCl
quelle

Antworten:

1

Eine AJAX-Konsole, auf die über die gleichen Medien (dh Ethernet-Ports und Verkabelung) zugegriffen wird, die der Server verwendet, um seinen normalen Dienst bereitzustellen, ist nicht das, was ich als Out-of-Band bezeichnen würde.

Normalerweise bedeutet "Out-of-Band" einen vollständig getrennten und unabhängigen Kommunikationspfad ohne potenziellen Fehlerpunkt, der mit dem Pfad, der für die Bereitstellung des normalen Dienstes verwendet wird, gemeinsam ist. In früheren Jahrzehnten bedeutete dies möglicherweise ein DFÜ-Modem. Heutzutage kann dies ein separates Ethernet-Netzwerk bedeuten, auf das über eine separate Internetverbindung zugegriffen wird. Es ist denkbar, dass eine "AJAX-Konsole" auf diese Weise bereitgestellt wird, aber diese Beschreibung (AJAX-Konsole) allein reicht nicht aus, um sicher zu sein.

RedGrittyBrick
quelle
Als das OP einen "Cloud-Anbieter" erwähnte, stelle ich mir die AJAX-Konsole einfach als Wrapper für eine Konsole wie die hvc0-Konsole von Xen vor. Daher ist es im Kontext der Virtualisierung eine gute Aufgabe, OOB zur Beschreibung dieser Konsole zu verwenden.
Garrett
Die Antworten von Garrett und RedGrittyBrick liefern gute Informationen. Ich wähle diese Antwort, weil sie die allgemeineren Sicherheitsbedenken anspricht. Danke euch beiden.
H2ONaCl
2

Out-of-Band wird hier wahrscheinlich im falschen Kontext verwendet, aber ich bin mir trotzdem sicher, dass die Konsole einer typischen lokalen Konsole ähnelt oder diese emuliert. Die meisten Virtualisierungshypervisoren (Xen, KVM usw.) bieten dies über die Verbindung mit einer IP-Adresse an, die an dom0 angehängt ist. Auf diese Weise können Sie eine Verbindung zu Ihrem virtualisierten Knoten "Out-of-Band" herstellen, also auch über die Netzwerkschnittstelle Wenn Ihre Instanz nicht verfügbar ist, können Sie weiterhin auf sie zugreifen. Offensichtlich ist dies nach traditioneller Definition kein Out-of-Band-Fall, entspricht jedoch der Beschreibung von "Systemkonsolenzugriff auch bei Ausfall des primären Netzwerksubsystems (Hard- und / oder Software)", wenn in einer virtualisierten Umgebung gesprochen wird Kontext.

Garrett
quelle
1
Ich weiß nicht, welche Details Sie anbieten, aber ich stimme zu, dass die AJAX-Konsole eine ganz andere Kommunikationsmethode ist, da sie auch dann funktionieren soll, wenn das Netzwerk auf dem Server ausgeschaltet ist. Ich glaube, es geht um die Sicherheit gegen Spoofing. Die Kommunikation, die anders ist, scheint ein bisschen Schutz gegen Spoofing zu sein, nur weil es für den Spoofer mehr Arbeit ist, zwei verschiedene Arten zu fälschen, oder so scheint es mir.
H2ONaCl
Genau. Die AJAX-Konsole stellt eine Verbindung zu einer virtuellen Konsole auf dem Host-Server her, die im Kontext Ihres Knotens außerhalb des Bandes liegt. Wenn der Schlüssel an beiden Stellen verifiziert werden kann, soll er vertrauenswürdig sein.
Garrett