Dnia 10.08.2010 Jacek Politowski <sorry@nie.istnieje> napisał/a:
>> Zawsze jednak istnieją vpny i inne alternatywne
>> rozwiązania na bezpieczny dostęp zdalny.
>
> I czym _praktycznie_ różni się taki np. VPN od SSH?
> Poza, potencjalną, niejawnością protokołu?
Miejscem terminacji ruchu?
Zpsucie RAS-a może być mniej szkodliwe niż zpsucie rutera z ważną sesją.
Jak już klikam, wrzucę kamyczek do całości dyskusji. Oryginalnie przedstawiony problem widzę tak:
1. SSH na ruterze brzegowym jest przydatne.
2. Publiczne wystawienie tego SSH
- na dziś może szkodzić minimalnie (syf w logach, prowokowanie podwyższonej konsumpcji
zasobów, która może zagrozić podstawowej roli systemu)
- w przyszłości może zaszkodzić bardziej (jakiś 0 day bug np.)
stwarza więc ryzyko.
3. Mając na uwadze 2., SSH na ruterze brzegowym warto ograniczyć do zaufanych IP (hosty przesiadkowe).
4. Implementując ograniczenie z p.3. ktoś mnie rozgarnięty może przegapić domyślne allow na IPv6.
5. Rezygnacja z implementacji ograniczenia z p.3. przy argumentacji, że stykówka i tak nie jest
rozgłaszana na świat, stwarza kolejne ryzyko, bo wpływ na ew. rozgłoszenie ma wiele podmiotów
poza nami.
Zatem jawnie zdefinowane ograniczenie dostępu do usługi SSH do wybranych
hostów (o ile to nie shellownia) adresuje ryzyka 2. i 5.
Tak że ruter zdalnego dostępu, przez który uzyskujemy dostęp do sieci
zarządzania i dopiero tamtędy SSH-ujemy się na docelowy system, wydaje
mi się zupełnie koszernym rozwiązaniem. ;)
-- Paweł MałachowskiReceived on Wed Aug 11 13:00:02 2010
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 11 Aug 2010 - 13:40:00 MET DST