Quali sono le implicazioni per la sicurezza del tunnelling SSH?

Naviga le tue risposte
8

Abbiamo una lan interna (non connessa ad internet, tutti gli indirizzi IP interni, dietro un firewall, nessun instradamento verso l'esterno), abbiamo anche una macchina che si trova sul bordo della nostra lan (due nics, uno sul lato interno) lan, uno su una lan pubblica che può "vedere" Internet.

Devo vedere le macchine sulla lan pubblica, dalla lan interna, posso SSH alla macchina sul bordo e tunnelare il mio traffico per vedere i servizi di cui ho bisogno sulla macchina sulla rete pubblica.

Voglio sapere se questo comporta ulteriori implicazioni sulla sicurezza?

    
posta Ali 30.11.2011 - 18:26
fonte

2 risposte

6

Per poter eseguire il tunneling SSH, è necessario disporre di un account sulla macchina "edge". È difficile consentire il tunneling senza fornire un accesso completo alla shell su quella macchina. Questa è una shell come utente generico. Teoricamente, i sistemi di tipo Unix applicano severe regole di sicurezza per quanto riguarda gli utenti locali, in modo che l'accesso alla shell a un utente non sia un grosso problema. In pratica, se i tuoi utenti sono potenziali attaccanti, questo aumenta la superficie di attacco: devi preoccuparti di ciò che tali attaccanti possono fare alla macchina edge da una shell in esecuzione su quella macchina, invece di accedere alla macchina "dalla rete".

Inoltre, se le persone della LAN interna possono connettersi a SSH alla macchina periferica, sono obbligati a provarla anche dall'esterno (cioè dalla loro macchina domestica). Puoi o non vuoi permetterlo.

Il tema comune qui è che SSH ha un tipo di modello di sicurezza tutto-o-niente: tu dai l'accesso, o no, ma non è facile imporre un accesso limitato ("puoi connettersi tramite SSH su questa macchina ma solo per eseguire questa o quella attività "). Per creare un accesso limitato, devi impostare la shell utente (a livello Unix) su un eseguibile specifico che fa il lavoro di filtraggio, come rssh , ma non trovo che questa sia una soluzione davvero efficace.

    
risposta data 30.11.2011 - 18:41
fonte
2

Se i tuoi tunnel stanno inoltrando il traffico dall'interno al pubblico, allora non vedo altri problemi. Per esempio. inoltro della porta 8080 sul lato privato della macchina edge al server web intranet sul lato pubblico. (Anche se tutti i servizi di cui hai bisogno possono essere SOCKS con proxy, potrebbe essere più semplice fare ssh -D 8080 user@edge-machine ogni volta che ti serve un tunnel.)

Ma se hai tunnel che ascoltano sul lato pubblico della finestra di bordo e inoltrano il traffico nella LAN interna, hai creato un buco nel tuo firewall. Per esempio. se avanzi 8080 sul tuo computer periferico a 80 su un computer interno, chiunque può vedere il computer periferico può vedere anche il server web sul tuo computer interno.

    
risposta data 30.11.2011 - 22:31
fonte

Leggi altre domande sui tag

Protezione delle e-mail nel database L'argomento è davvero finito su SSO?