¿El reenvío de puertos es inherentemente inseguro?

8

Hace unos meses tuve una discusión con una persona cuando propuse que reenviéramos el puerto 12xyz a un servidor SSH interno.

El servidor de destino estaba vinculado de una manera similar a la recomendada por @stribika en enlace . Específicamente, no hay acceso de root, solo autenticación de clave pública, puerto ssh no estándar, cifrados de alta calidad, kex y macs.

Estaba argumentando que el puerto reenviado no era intrínsecamente peligroso en sí mismo, y que la seguridad dependía del servicio en el puerto objetivo. Mantuve que mi método era una forma perfectamente segura de obtener acceso remoto. Argumentó con vehemencia que no lo era, afirmando que un túnel VPN es la única forma segura de lograr acceso remoto.

¿Quién tenía razón?

    
pregunta Rhyven 22.03.2015 - 11:33
fuente

1 respuesta

9

Los puertos de reenvío NO son inherentemente peligrosos en sí mismos y SÍ, la seguridad depende del servicio en el puerto de destino. Pero la seguridad también depende de lo bueno que sea el firewall de su enrutador y de lo bien que esté protegido, tanto interna como externamente.

Para el acceso remoto, tanto SSH como VPN funcionan tan bien como los demás. Ninguno es más seguro que el otro cuando se utilizan niveles similares de cifrado. Pero como SSH funciona a nivel de aplicación, solo es compatible con TCP y proporciona acceso remoto a una sola computadora. Preferiría un túnel VPN que, de hecho, funciona en la capa de transporte, es compatible con UDP y TCP y permite el acceso seguro a múltiples recursos.

El túnel VPN NO es la única forma segura de lograr acceso remoto, pero definitivamente es la forma preferida debido a las razones anteriores. Sin mencionar que SSH es realmente difícil de implementar correctamente en caso de múltiples recursos, puede causar fugas de DNS y debe configurarse por separado para cada aplicación.

    
respondido por el Joseph 22.03.2015 - 12:56
fuente

Lea otras preguntas en las etiquetas