Il port forwarding è intrinsecamente pericoloso?

8

Ho avuto una discussione con una persona qualche mese fa quando ho proposto di inoltrare la porta 12xyz a un server SSH interno.

Il server di destinazione è stato abbattuto in modo simile a quello raccomandato da @stribika su link . In particolare, nessun accesso root, solo autenticazione con chiave pubblica, porta ssh non standard, cifrari di alta qualità, kex e, mac.

Stavo sostenendo che la porta inoltrata non era intrinsecamente pericolosa in sé e che la sicurezza dipendeva dal servizio alla porta di destinazione. Ho mantenuto il mio metodo era un modo perfettamente sicuro per ottenere l'accesso remoto. Sosteneva con veemenza che non lo era, affermando che un tunnel VPN è l'unico modo sicuro per ottenere l'accesso remoto.

Chi aveva ragione?

    
posta Rhyven 22.03.2015 - 11:33
fonte

1 risposta

9

Le porte di inoltro NON sono intrinsecamente pericolose di per sé e SÌ la sicurezza dipende dal servizio sulla porta di destinazione. Ma la sicurezza dipende anche da quanto è buono il firewall del tuo router e quanto bene è protetto, sia internamente che esternamente.

Per l'accesso remoto, sia SSH che VPN funzionano come gli uni gli altri. Né è più sicuro dell'altro quando vengono utilizzati livelli simili di crittografia. Ma dal momento che SSH funziona a livello di applicazione, supporta solo TCP e fornisce accesso remoto a un solo computer, preferirei il tunneling VPN che in effetti funziona a livello di trasporto, supporta sia UDP che TCP e consente l'accesso sicuro a più risorse.

Il tunnel VPN NON è l'unico modo sicuro per ottenere l'accesso remoto, ma sicuramente il modo preferito a causa dei motivi di cui sopra. Per non parlare di SSH è davvero difficile da implementare correttamente in caso di più risorse, può causare perdite DNS e deve essere configurato separatamente per ogni applicazione.

    
risposta data 22.03.2015 - 12:56
fonte

Leggi altre domande sui tag