Restrinja el acceso al área de administración al verificar las conexiones SSH

Navega tus respuestas
0

Suponiendo que los usuarios tienen IP dinámicas (por lo que no puedo incluirlas en la lista blanca) y que configurar una VPN no es una opción, ¿es un enfoque válido para restringir el acceso a un área de administración permitiendo solo las IP que están conectadas actualmente a través de SSH en el servidor? ¿Hay algún problema de seguridad con esto?

¿Qué sucede si el servidor en el que el usuario inició sesión a través de SSH no es el mismo que el servidor del sitio? ¿Está bien que el sitio llame a un servicio en ese otro servidor que indicaría si una IP específica está registrada? ¿Alguna implicación de la que no tenga conocimiento?

PD: aún estaría pidiendo una contraseña a través de SSL e implementando otras medidas de seguridad básicas, la pregunta es sobre la restricción del acceso.

PPS: entiendo los problemas de usabilidad, asumo que los usuarios siempre inician sesión a través de SSH.

    
pregunta Schrute 08.05.2014 - 17:48
fuente

3 respuestas

1
  

solo permite direcciones IP que actualmente están conectadas a través de SSH

Una dirección IP no es igual a una persona. ¿Qué está usando alguien wifi público en una cafetería? Varias docenas de personas podrían estar compartiendo su dirección IP.

    
respondido por el user2675345 08.05.2014 - 17:54
fuente
0

Si no puede bloquear por dirección IP, necesita algo más. Podría usar pki o podría usar autenticación fuerte. Preferiblemente usarías ambos. O bien emitiría claves y las controlaría o tendría un proceso establecido para establecer la confianza con una clave generada en el sistema. También asegúrese de que está aplicando una buena contraseña de seguridad. También puede ver algún tipo de integración de ldap y tener algún tipo de autenticación de dos factores.

Definitivamente desea que su servidor SSH esté en una zona DMZ si va a permitir el acceso global al sistema desde Internet. Limite su acceso al resto de su red, refuérzelo y manténgalo remendado. De esa manera, tienes la oportunidad de limitar el daño si se rompe.

    
respondido por el GdD 08.05.2014 - 18:12
fuente
0

¿Qué pasa con los certificados de cliente? Evita la necesidad de verificar las IP. Solo aquellos con el certificado pueden iniciar sesión.

    
respondido por el schroeder 08.05.2014 - 19:48
fuente

Lea otras preguntas en las etiquetas

¿Los usuarios alojados en los servidores / sitios web / bases de datos en la nube son revisados manualmente? ¿Dónde puedo practicar los protocolos binarios en bruto MITM?