Se un utente VPN può ignorare un host di salto SSH?

4

Sto installando una rete di computer per ingegneri del software. Attualmente ho tutte le connessioni SSH attraverso un host jump / bastion, con accesso ai server di produzione che richiedono l'inoltro dell'agente SSH.

Ai fini dell'accesso a servizi HTTP potenzialmente non protetti rivolti all'interno (come un dashboard di amministrazione o un notebook IPython), l'utente deve portare la porta del server di produzione su localhost.

Sono interessato al provisioning di un server OpenVPN per gli utenti, consentendo loro di accedere ai servizi interni senza port forwarding. Tuttavia, l'accesso a questi servizi (come un notebook IPython) è equivalente all'accesso SSH / shell.

Se implemento OpenVPN insieme alla mia configurazione OpenSSH esistente, gli utenti finali avrebbero due metodi per ottenere l'accesso alla shell remota: la chiave SSH e la chiave TLV OpenVPN. Temo che questo complichi l'autenticazione per i miei utenti, aumenti la superficie di attacco della rete e aumenti la difficoltà di controllo dell'accesso e rilevamento delle intrusioni.

In base a ciò, è una buona idea distribuire OpenVPN? In tal caso, quali sono alcuni modi in cui posso semplificare la gestione delle chiavi per i miei utenti? (I miei utenti possono utilizzare la stessa chiave RSA per OpenVPN TLS e SSH?) Come posso raccogliere la registrazione sul server per fornire un'esperienza di controllo identica per l'accesso VPN e SSH?

    
posta James Mishra 18.07.2016 - 16:27
fonte

2 risposte

2

Non comporterà una singola complicazione! Utilizza le cose successive nel tuo server:

  • OpenLDAP : conserverà le informazioni utente
  • goSA : un'interfaccia web fine per utilizzare tutte le operazioni necessarie per amministrare utenti e gruppi in LDAP
  • pam-ldap - un autentico autenticatore per PAM standard / interfaccia / libreria

! per il tuo OpenSSH usa il metodo di autenticazione PAM e usa pam-ldap per autenticare usando LDAP. Perché OpenVPN usi una configurazione simile, esistono anche alcune soluzioni pronte all'uso, come questo

E nessuna confusione dovrebbe mai esistere in una tale configurazione: tutto è abbastanza chiaro e ben organizzato in un singolo punto di memoria / auth in LDAP. Se hai bisogno di usare un accesso ppptp come mpd - nessun problema, si integra bene anche in questa configurazione (l'ho fatto io stesso): basta usare un freeradius come modulo back-end di mpd e indirizzare anche il freeradio su LDAP.

    
risposta data 18.07.2016 - 19:13
fonte
2

If I implement OpenVPN alongside my existing OpenSSH setup, end users would have two methods to gain remote shell access--the SSH key and the OpenVPN TLS key. I am afraid this complicates authentication for my users, increases the attack surface of the network, and increases the difficulty of access auditing and intrusion detection.

La risposta a tutto questo è sì. Ovviamente l'apertura di un altro metodo di accesso a una rete aumenterà la superficie di attacco. La vera domanda è se i benefici sono sufficienti per giustificare il rischio aggiunto. Chiedete se il server VPN è davvero una buona idea, ma in alternativa, se si dispone di un server VPN, è davvero necessario mantenere il server SSH disponibile? Come menzionato in uno dei commenti, la VPN è un metodo più robusto e sicuro per fornire l'accesso alla rete, ma richiede più installazione e manutenzione. Mantenere le cose semplici, o familiari, per i tuoi utenti è sempre un aspetto da considerare, ma la sicurezza dovrebbe generalmente prevalere sulla convenienza.

Sembra che tu abbia a che fare con sviluppatori che dovrebbero essere abbastanza competenti da capire che in genere c'è un po 'di spazio tra sicurezza e convenienza, quindi devi capire dove si trova questo equilibrio per le esigenze specifiche del tuo cliente. Le domande sul riutilizzo delle chiavi e sulla raccolta dei controlli dipendono tutte dalle esigenze del cliente, dalla politica di sicurezza in atto, dal livello di protezione desiderato per le informazioni, dall'architettura e dall'implementazione della rete attuale, ecc ... Riutilizzo di una chiave tra due diversi i sistemi non forniranno il massimo livello di sicurezza e comportano più rischi. Tuttavia, a seconda del livello di protezione necessario, potrebbe fornire una sicurezza ENORM della tua implementazione, senza la configurazione più complessa e costosa di un vero sistema Single Sign-On.

    
risposta data 18.07.2016 - 18:04
fonte

Leggi altre domande sui tag