¿Es inseguro tener un servidor SSH en una estación de trabajo?

Navega tus respuestas
11

Conozco a un administrador de sistemas que ejecuta el servidor SSH en su estación de trabajo para enviar archivos y verificar las cosas desde un teléfono, pero creo que es una mala idea por varias razones:

  • Una estación de trabajo de operaciones es un punto dulce para el adversario. Una vez que ingrese, no encontrará un lugar mejor para acceder a otros lugares.
  • Si te piratean en cualquier lugar, entonces no sabes qué otros sistemas se vieron afectados, debes verificar todo. ¿Cómo se verifica? Tal vez caminar a la sala de servidores con un CD en vivo. Tal vez su centro de datos es demasiado grande. Analice los registros, las instantáneas recientes, inicie el inicio de sesión en los lugares. Pero es muy probable que, en algún momento, su estación de trabajo esté involucrada.

Solo asumimos que no hay nada que impida que el administrador del sistema realice todas las tareas de administración remota desde la estación de trabajo. El administrador tendría que escribir las contraseñas y / o utilizar certificados que se almacenan en la estación de trabajo. No se está utilizando la autenticación de dos factores.

¿Cuál es el riesgo al ejecutar un sshd en una estación de trabajo de operaciones?

(¿No debería esa estación de trabajo tener un firewall sin conexiones entrantes?)

    
pregunta Aleksandr Levchuk 14.07.2011 - 04:10
fuente

3 respuestas

11

Muy aterrador! Como un riesgo, esto debe plantearse a la junta: efectivamente, un atacante en Internet solo necesita descubrir ese nombre de usuario y contraseña (o un SSH de 0 días) y toda su red corporativa debe considerarse comprometida. ¿Podría funcionar el negocio sin él? ¿Hay algo sensible en él?

Esta es una mala idea de muchas maneras:

Omite los controles del perímetro

  • Puede ser imposible monitorear las actividades de este administrador, desde una perspectiva de gobierno, esto no es bueno. Si la compañía está en una industria regulada, esto puede infringir las reglas. Debería crear sistemas para no tener que confiar en las personas al 100%; esto ayudaría a persuadir a las personas para que no intenten algo malicioso, ya que se verán atrapados.
  • La prevención de ataques desde fuera del perímetro se basa totalmente en la configuración de ese servidor SSH, a diferencia de un escenario de defensa en profundidad con firewalls e IDS

Es un objetivo clave

  • La estación de trabajo de un administrador del sistema puede ser la joya de la corona de un atacante, por lo que deben protegerse en consecuencia. Si un atacante puede obtener acceso a él, es probable que la escalada al resto de la red sea mucho más sencilla

No es necesario

Las organizaciones grandes ya tienen una gama de opciones disponibles para este tipo de funcionalidad. Por lo general, se reduce el acceso a través de la Solución de acceso remoto normal en su cuenta de dominio a una máquina 'escalonada' dentro de la red que tiene un cliente SSH, luego un inicio de sesión en la estación de trabajo de administración, luego un equivalente 'su' para aumentar los privilegios si necesario.

Luego, cada paso puede tener controles y registros sólidos implementados, un poco más molesto para el administrador (un par de minutos adicionales para iniciar sesión) pero es mucho más difícil para un atacante pasar inadvertido.

    
respondido por el Rory Alsop 14.07.2011 - 09:44
fuente
8

Todo se reduce al modelo de amenaza. Depende de los riesgos y la probabilidad de un ataque. Depende de lo que haga la estación de trabajo. Depende de los clientes involucrados.

¿En qué se diferencia esto de ejecutar SSH en un servidor real? Si la cuenta de servicio no tiene permisos para hacer mucho, entonces el ataque no puede llegar muy lejos. Si la cuenta de servicio se está ejecutando con altos privilegios, entonces realmente no importa si se está ejecutando en una estación de trabajo o un servidor. Si el cliente es solo su teléfono, existe un riesgo menor de que las credenciales se vean comprometidas que, por ejemplo, que cientos de personas se conecten a él. Si el servidor SSH está diseñado para aceptar solo conexiones de una IP particular, entonces el riesgo se reduce aún más.

Si la estación de trabajo tiene permisos para administrar sistemas, entonces probablemente no sea bueno ejecutar un servidor SSH en él por algunas de las razones que mencionó. Mejor aún, no debería tener ninguna conexión con el mundo exterior. Si se trata de una estación de trabajo que no es de administración, lo peor que podría violarse es cualquier cosa que tenga acceso de administrador, muy poco o nada.

    
respondido por el Steve 14.07.2011 - 04:59
fuente
6

Por un lado, aumenta la superficie de ataque, por otro lado aumenta la capacidad de administración. Por lo tanto, podría ser un resultado positivo neto para el perfil de riesgo si eso se utiliza para administrar sistemas y aplicar actualizaciones.

En este caso particular, es solo por conveniencia, y está en un objetivo de alto riesgo. Las preguntas aquí deben ser:

  • ¿Merece la pena el riesgo por la conveniencia obtenida?
  • ¿Se puede demostrar la necesidad de negocios?
  • ¿Se puede mitigar el riesgo en parte por restricciones de acceso, privilegios mínimos, etc.?
  • ¿Se puede mitigar el riesgo en parte por la misma comodidad con otra máquina o incluso con una máquina virtual?
  • ¿Se puede mitigar el riesgo en parte con una solución VPN?
  • Después de aplicar todos los pasos de mitigación razonables, ¿el beneficio supera el riesgo?
respondido por el Stephanie 14.07.2011 - 07:08
fuente

Lea otras preguntas en las etiquetas

Anuncios que aparecen en nuestra aplicación cuando no deberían ser ¿El cifrado HTTPS en un sitio impide que la NSA sepa que visitó su dominio / la URL?