¿El reenvío de puertos es inherentemente inseguro?

Question

¿El reenvío de puertos es inherentemente inseguro?

#1 de Joseph (9 votos)

8

Hace unos meses tuve una discusión con una persona cuando propuse que reenviéramos el puerto 12xyz a un servidor SSH interno.

El servidor de destino estaba vinculado de una manera similar a la recomendada por @stribika en enlace . Específicamente, no hay acceso de root, solo autenticación de clave pública, puerto ssh no estándar, cifrados de alta calidad, kex y macs.

Estaba argumentando que el puerto reenviado no era intrínsecamente peligroso en sí mismo, y que la seguridad dependía del servicio en el puerto objetivo. Mantuve que mi método era una forma perfectamente segura de obtener acceso remoto. Argumentó con vehemencia que no lo era, afirmando que un túnel VPN es la única forma segura de lograr acceso remoto.

¿Quién tenía razón?

ssh port-forwarding

pregunta Rhyven 22.03.2015 - 11:33

fuente

1 respuesta

Lea otras preguntas en las etiquetas ssh port-forwarding

¿Por qué confiamos en la información de la sesión por el cable pero no en un token de acceso OAuth? ¿Qué tan fuerte es visualCaptcha?

score 9 · Accepted Answer

Los puertos de reenvío NO son inherentemente peligrosos en sí mismos y SÍ, la seguridad depende del servicio en el puerto de destino. Pero la seguridad también depende de lo bueno que sea el firewall de su enrutador y de lo bien que esté protegido, tanto interna como externamente.

Para el acceso remoto, tanto SSH como VPN funcionan tan bien como los demás. Ninguno es más seguro que el otro cuando se utilizan niveles similares de cifrado. Pero como SSH funciona a nivel de aplicación, solo es compatible con TCP y proporciona acceso remoto a una sola computadora. Preferiría un túnel VPN que, de hecho, funciona en la capa de transporte, es compatible con UDP y TCP y permite el acceso seguro a múltiples recursos.

El túnel VPN NO es la única forma segura de lograr acceso remoto, pero definitivamente es la forma preferida debido a las razones anteriores. Sin mencionar que SSH es realmente difícil de implementar correctamente en caso de múltiples recursos, puede causar fugas de DNS y debe configurarse por separado para cada aplicación.