Quali sono i rischi associati a SSH'in dalla LAN aziendale al server non attendibile su Internet

Naviga le tue risposte
1

Al lavoro (una grande organizzazione) ho trovato un server sulla LAN che apre le connessioni SFTP a 2 server su Internet.

Suppongo che gli host remoti si trovino nelle altre parti DMZ.

So che non dovresti farlo ma non sono sicuro dei rischi associati.

Quanto più rischioso è per SSH (SFTP) per un host remoto dalla tua LAN che dalla tua DMZ.

L'unica cosa che mi viene in mente è la regola del firewall che consente a qualcuno su questo lato di impostare una sessione SSH inversa in modo da poter accedere alla LAN dall'esterno senza traccia di controllo.

Grazie. Sean

    
posta sean b 01.09.2014 - 10:19
fonte

2 risposte

1

Hai identificato i principali rischi:

  1. Stai contattando un host / rete straniera.

  2. È molto facile creare un tunnel inverso usando SSH (in modo che la parte remota possa arrivare a te)

(3. Il flusso di comunicazione è crittografato) ... il mio rischio aggiuntivo.

Per quanto riguarda LAN vs DMZ. Beh ... certo, tutto dipende. Su alcune LAN potrebbe esserci più ispezione per quanto riguarda i collegamenti in uscita (?). Voglio dire, dipende molto dalla tua configurazione, dalle tue politiche, ecc.

Ogni volta che hai "fiducia" in "non fidato" (non importa in quale zona), hai i rischi già menzionati. La crittografia del traffico non ha molta importanza, anche se spesso può confondere il problema (fa sì che la gente dimentichi che tutto il problema "fidato" sta per "non fidato").

Ma, "dovresti farlo?"

Hai effettivamente detto "no", ma di nuovo, tutto dipende. Internet è essenzialmente una rete pubblica affidabile. Lo usiamo perché è lì. Non perché fornisce sicurezza. Pertanto, per definizione, per impostazione predefinita, è sicuramente nella categoria "non attendibile" per la maggior parte delle aziende. Ma forse otteniamo abbastanza benefici da mitigare (percezione) i rischi (??).

Firewall saggio, btw, quando una connessione viene avviata dall'azienda (attendibile) all'esterno (non affidabile), è molto difficile "bloccare" qualsiasi cattiveria. E poiché la comunicazione è crittografata, direi che è molto, molto difficile.

    
risposta data 03.09.2014 - 16:20
fonte
0

Dipende da quanta sicurezza aggiuntiva si ottiene dalla DMZ.

  • Nella tua situazione un socket TCP crittografato è fondamentalmente trasmesso direttamente alla LAN. In tal caso una DMZ è più o meno inutile. Gli attacchi su SSH e il protocollo FTP sono possibili, così come gli attacchi al protocollo dell'applicazione;
  • Se usi semplicemente la DMZ per inoltrare una connessione, potresti essere sicuro contro gli attacchi diretti che stanno attaccando direttamente il protocollo SSH & attuazione;
  • Se utilizzi un server nella DMZ per eseguire l'FTP - cioè se utilizzi la DMZ per eseguire l'FTP su file inviati / scaricati dalla DMZ - allora potresti essere sicuro contro direct attacchi su SFTP;
  • La DMZ può anche ispezionare o eseguire la scansione dei file che vengono recuperati aggiungendo una certa sicurezza a livello di applicazione;
  • La DMZ può eseguire ulteriori operazioni di registrazione e rilevamento, che possono essere ispezionate / monitorate in una posizione centrale.

Quindi, se non si utilizza la DMZ, si dipende semplicemente dal servizio nella LAN e dall'applicazione effettiva che utilizza i file. Utilizzando DMZ puoi aggiungere un livello di sicurezza.

Ovviamente, impostare un server SFTP sulla LAN è un po 'più problematico in quanto richiede l'apertura del firewall alle connessioni in entrata.

    
risposta data 02.11.2014 - 17:43
fonte

Leggi altre domande sui tag

Impedisci a qualcuno di utilizzare il tuo sito per il phishing? Early ChangeCipherSpec Attack