¿Cuáles son los riesgos asociados con SSH'in desde una LAN corporativa a un servidor no confiable en Internet?

Navega tus respuestas
1

En el trabajo (una gran organización) encontré un servidor en la LAN que abre conexiones SFTP a 2 servidores a través de Internet.

Supongo que los hosts remotos están en las otras partes de DMZ.

Sé que no debes hacer esto, pero no estoy seguro de los riesgos asociados.

Cuánto más arriesgado es para SSH (SFTP) para un host remoto desde su LAN que desde su DMZ.

Lo único en lo que puedo pensar es tener la regla de firewall que permite que alguien de este lado pueda configurar una sesión SSH inversa para poder acceder a la LAN desde fuera sin rastro de auditoría.

Gracias. sean

    
pregunta sean b 01.09.2014 - 10:19
fuente

2 respuestas

1

Has identificado los principales riesgos:

  1. Estás contactando con un host / red extranjero.

  2. Es muy fácil crear un túnel inverso utilizando SSH (para que la parte remota pueda llegar a ti)

(3. El flujo de comunicación está cifrado) ... mi riesgo adicional.

Con respecto a LAN vs DMZ. Bueno ... por supuesto, todo depende. En algunas LAN puede haber más inspecciones con respecto a las conexiones salientes (?). Quiero decir, realmente depende de su propia configuración, políticas, etc.

En cualquier momento que haya "confiado" y no haya "(no importa en qué zona), tiene los riesgos ya mencionados. En realidad, cifrar el tráfico no es tan importante, aunque a veces puede confundir el problema (hace que la gente olvide que todo el asunto "de confianza" va a ser un problema "no confiable").

Pero, "¿se supone que debes hacer esto?"

Efectivamente dijiste "no", pero una vez más, todo depende. Internet es esencialmente una red pública de confianza. Lo usamos porque está ahí. No porque proporciona seguridad. Por lo tanto, por definición, de forma predeterminada, está ciertamente en la categoría "no confiable" para la mayoría de las empresas. Pero quizás obtengamos suficiente beneficio para mitigar (la percepción) los riesgos (??).

Firewall sabio, por cierto, cuando una conexión se inicia desde la compañía (confiable) hacia el exterior (no confiable), es muy difícil "bloquear" cualquier desagradable. Y debido a que la comunicación está encriptada, yo diría que es muy muy, muy difícil.

    
respondido por el Christopher Cox 03.09.2014 - 16:20
fuente
0

Depende de cuánta seguridad adicional obtenga de la DMZ.

  • En su situación, un socket TCP encriptado se envía directamente a la LAN. En ese caso, una DMZ es más o menos inútil. Los ataques a SSH y el protocolo FTP son posibles, así como los ataques al protocolo de la aplicación;
  • Si solo usa la DMZ para reenviar una conexión, entonces puede estar seguro contra los ataques directos que están atacando directamente el protocolo SSH & implementación;
  • Si usa un servidor en la DMZ para realizar el FTP, es decir, si utiliza la DMZ para ejecutar el FTP en los archivos enviados a / desde la DMZ, entonces puede estar seguro contra direct ataques a SFTP;
  • La DMZ también puede inspeccionar o escanear los archivos que se recuperan agregando algo de seguridad a nivel de aplicación;
  • La DMZ puede realizar algún registro y detección adicionales, que pueden ser inspeccionados / monitoreados en una ubicación central.

Entonces, si no usa la DMZ, simplemente depende del servicio en la LAN y de la aplicación real que usa los archivos. El uso de DMZ puede agregar una capa de seguridad.

Por supuesto, configurar un servidor SFTP en la LAN es un poco más problemático, ya que requerirá abrir el firewall para las conexiones entrantes.

    
respondido por el Maarten Bodewes 02.11.2014 - 17:43
fuente

Lea otras preguntas en las etiquetas

Defensa de un servidor contra recursos cargados maliciosamente Cómo hacer que los ataques de inyección de bytes nulos funcionen con PHP 5.2.17