¿Están vinculando todos los servicios privados a la dirección 127.0.0.1 y luego accediendo a ellos a través de SSH usando un par de claves RSA de 4096 bits seguro?

3

¿Es seguro vincular todos los servicios privados solo a la dirección 127.0.0.1, y luego usar el reenvío de puerto local de un cliente SSH local con un archivo de par de clave pública / privada RSA de 4096 bits y una frase de contraseña para acceder a ellos? Entiendo que los 4096 bits son seguros en el futuro inmediato siempre que nadie robe la contraseña a mi clave pública SSH.

(Dependiendo de lo que puedan acceder los servicios públicos, por supuesto)

(Y, por supuesto, después del intercambio de claves inicial ...)

Además, ¿ayudaría a limitar la cantidad de computadoras internas que tienen acceso a ella usando la dirección de origen, el puerto de destino y, posiblemente, la dirección mac en el firewall del servidor?

Supongo que también debo desactivar el acceso a la cuenta raíz a través de ssh, no sea que alguien entre allí y realice cambios en el archivo de hosts.

¿También ayudaría limitar los puertos a los que se puede conectar usando este método? (no estoy seguro de cómo hacerlo, pero apuesto a que está en la configuración de SSH)

¿Esto es seguro por qué o por qué no? ¿Y hay algo que pueda hacer para que esto sea más seguro?

    
pregunta leeand00 24.11.2015 - 03:37
fuente

1 respuesta

4

La descripción de los servicios locales a los que solo accede a través del reenvío SSH seguro es vaga para evaluar la seguridad de su configuración. Lo que esta configuración está haciendo es restringir el acceso al servicio a hosts específicos, pero nada más. El uso del cifrado de 4096 bits del transporte no hace mágicamente el servicio en sí mismo, protege solo el reenvío contra el rastreo y la manipulación.

La siguiente configuración, similar a la suya, la he visto varias veces y, aunque parece segura a primera vista, no lo es:

  • alguna interfaz web para administrar un dispositivo
  • reenviado a través de SSH a la máquina local
  • accesible allí como http (s): //127.0.0.1: some-port /

Si visita esta interfaz web, con el mismo navegador que usa para su navegación normal, un atacante puede montar un Ataque CSRF contra el servidor en 127.0.0.1, es decir, su interfaz administrativa reenviada. O podría usar un Ataque de reencuadernación de DNS para acceder al dispositivo desde Internet utilizando su navegador como relé.

Por lo tanto, asegurar el transporte y restringir el acceso a hosts específicos es solo una parte de la seguridad de un servicio. Especialmente con los servicios web, tienes que echar un vistazo a todos los ataques habituales basados en la web, que no desaparecen simplemente mediante el uso de un transporte cifrado. Probablemente hay cosas similares a tener en cuenta para otros tipos de servicios.

    
respondido por el Steffen Ullrich 24.11.2015 - 07:39
fuente

Lea otras preguntas en las etiquetas