¿Se debe permitir a un usuario de VPN eludir un host de salto SSH?

Navega tus respuestas
4

Estoy configurando una red informática para ingenieros de software. Actualmente tengo todas las conexiones SSH ejecutadas a través de un host de salto / bastión, con acceso a servidores de producción que requieren el reenvío del agente SSH.

Con el fin de acceder a servicios HTTP potencialmente inseguros y orientados internamente (como un tablero de administración o una notebook IPython), el usuario debe enviar el puerto del servidor de producción a localhost.

Estoy interesado en aprovisionar un servidor OpenVPN para los usuarios, permitiéndoles acceder a servicios internos sin reenvío de puertos. Sin embargo, el acceso a estos servicios (como un portátil IPython) es equivalente al acceso SSH / shell.

Si implemento OpenVPN junto con mi configuración existente de OpenSSH, los usuarios finales tendrían dos métodos para obtener acceso remoto a la shell: la clave SSH y la clave OpenVPN TLS. Me temo que esto complica la autenticación para mis usuarios, aumenta la superficie de ataque de la red y aumenta la dificultad de acceso a la auditoría y la detección de intrusos.

En base a esto, ¿es una buena idea implementar OpenVPN? Si es así, ¿cuáles son algunas formas en que puedo simplificar la administración de claves para mis usuarios? (¿Mis usuarios pueden usar la misma clave RSA para OpenVPN TLS y SSH?) ¿Cómo puedo clasificar el registro en el servidor para proporcionar una experiencia de auditoría idéntica para el acceso VPN y SSH?

    
pregunta James Mishra 18.07.2016 - 16:27
fuente

2 respuestas

2

¡No hará una sola complicación! Use las siguientes cosas en su servidor:

  • OpenLDAP : contendrá la información del usuario
  • goSA : una excelente interfaz web para utilizar todas las operaciones que necesita para administrar usuarios y grupos en LDAP
  • pam-ldap : un autenticador muy útil para PAM standard / interface / library

Entonces! para su OpenSSH use el método de autenticación PAM y use pam-ldap para autenticarse usando LDAP. Para su configuración de OpenVPN similar, también existen algunas soluciones listas para usar, como ésta

Y nunca debe existir confusión en tal configuración: todo está bastante claro y bien organizado en un solo punto de almacenamiento / autenticación en LDAP. Si necesitarás usar un acceso ppptp como mpd, no hay problema, también se integra bien en esta configuración (lo hice yo mismo): solo uso un freeradius como backend de mpd y apunta el freeradius a LDAP también.

    
respondido por el Alexey Vesnin 18.07.2016 - 19:13
fuente
2
  

Si implemento OpenVPN junto con mi configuración existente de OpenSSH, los usuarios finales tendrían dos métodos para obtener acceso remoto a la shell: la clave SSH y la clave OpenVPN TLS. Me temo que esto complica la autenticación para mis usuarios, aumenta la superficie de ataque de la red y aumenta la dificultad de acceso a la auditoría y la detección de intrusos.

La respuesta a todo esto es sí. Obviamente, abrir otro método de acceso a una red aumentará la superficie de ataque. La verdadera pregunta es si los beneficios son suficientes para justificar el riesgo agregado. Pregunta si el servidor VPN es realmente una buena idea, pero alternativamente, si tiene un servidor VPN, ¿realmente necesita mantener el servidor SSH disponible? Como se mencionó en uno de los comentarios, la VPN es un método más robusto y seguro para proporcionar acceso a la red, pero requiere más configuración y mantenimiento. Mantener las cosas simples o familiares para sus usuarios siempre es algo agradable de considerar, pero la seguridad en general debería invalidar la conveniencia.

Parece que está tratando con desarrolladores que deberían ser lo suficientemente competentes como para comprender que generalmente existe cierta relación entre la seguridad y la comodidad, por lo que necesita averiguar cuál es el equilibrio para las necesidades específicas de su cliente. Todas las preguntas sobre la reutilización de las claves y las auditorías de clasificación dependen de las necesidades del cliente, la política de seguridad implementada, el nivel de protección deseado para la información, la arquitectura actual de la red y la implementación, etc. Reutilice una clave entre dos. Los sistemas no brindarán el más alto nivel de seguridad y conllevan un mayor riesgo. Sin embargo, dependiendo del nivel de protección que necesite, puede proporcionar suficiente seguridad para su implementación, sin la configuración más compleja y costosa de un verdadero sistema de inicio de sesión único.

    
respondido por el Mortesil 18.07.2016 - 18:04
fuente

Lea otras preguntas en las etiquetas

Nombre de la autoridad de certificación ¿Puede una extensión de Firefox leer las preferencias o los datos almacenados por otras extensiones?