¿Cuáles son las implicaciones de seguridad de los túneles SSH?

8

Tenemos un lan interno (no conectado a internet, todas las direcciones ip internas, detrás de un firewall, no hay enrutamiento al exterior), también tenemos una máquina que se encuentra en el borde de nuestro lan (dos nics, una en el interior lan, uno en una lan pública que puede "ver" internet).

Necesito ver las máquinas en la red pública, desde la lan interna, puedo SSH a la máquina en el borde y canalizar mi tráfico para ver los servicios que necesito en la red pública.

Quiero saber si esto tiene implicaciones de seguridad adicionales.

    
pregunta Ali 30.11.2011 - 18:26
fuente

2 respuestas

6

Para poder ejecutar túneles SSH, debe tener una cuenta en la máquina "perimetral". Es difícil permitir un túnel sin dar un acceso completo al shell en esa máquina. Eso es un shell como usuario genérico. Teóricamente, los sistemas similares a Unix aplican reglas de seguridad estrictas con respecto a los usuarios locales, por lo que no es un problema dar un acceso de shell a un usuario. En la práctica, si sus usuarios son posibles atacantes, esto aumenta la superficie de ataque: debe preocuparse por lo que dichos atacantes pueden hacer a la máquina de borde desde un shell que se ejecuta en esa máquina, en lugar de acceder a la máquina "desde la red".

Además, si las personas de la LAN interna pueden conectarse mediante SSH a la máquina de borde, están obligados a intentarlo también desde el exterior (es decir, desde su máquina doméstica). Puede o no desear permitir eso.

El tema común aquí es que SSH tiene un tipo de modelo de seguridad de todo o nada: le da acceso o no, pero no es fácil imponer un acceso restringido ("puede conéctese mediante SSH en esta máquina, pero solo para realizar esta o aquella tarea "). Para hacer un acceso restringido, debe configurar el shell de usuario (a nivel de Unix) en un ejecutable específico que realice el trabajo de filtrado, como rssh , pero no encuentro que esta sea una solución realmente sólida.

    
respondido por el Tom Leek 30.11.2011 - 18:41
fuente
2

Si sus túneles están reenviando el tráfico de lo interno al público, entonces no veo ningún problema adicional. P.ej. reenvío del puerto 8080 en el lado privado de la máquina de borde al servidor web de intranet en el lado público. (Aunque si todos los servicios que necesita pueden ser proxy de SOCKS, puede ser más fácil hacer ssh -D 8080 user@edge-machine cada vez que necesite un túnel).

Pero si tiene túneles que escuchan en el lado público del cuadro de borde y reenvían el tráfico a la LAN interna, entonces ha perforado un agujero en su firewall. P.ej. Si reenvía 8080 en su máquina de borde a 80 en alguna máquina interna, entonces cualquiera que pueda ver la máquina de borde también puede ver el servidor web en su máquina interna.

    
respondido por el bstpierre 30.11.2011 - 22:31
fuente

Lea otras preguntas en las etiquetas