社外から社内へのリモートアクセス要件があります。
現状、
・社内にLinuxサーバを設置
・社外と社内の間に設定されたルータについて、社内のLinuxサーバへのSSHポートを開放
・SSHはユーザIDとパスワードによる認証
・社外からSSHポートフォワードにより、社内へ接続
といった運用をしています。
セキュリティ確保のため、
・SSH接続に公開鍵認証方式を利用
の対応をする予定ですが、
・ルータのIPsec機能を用いて、公開鍵認証方式により接続
も検討しています。
・どちらの接続方式の方が良いか。
・それはどういう理由か。
について、教えて頂けませんでしょうか。
以上、宜しくお願いいたします。
No.2ベストアンサー
- 回答日時:
SSH forwardingでログインシェルを無効にしキーシーケンスも無効にし
そのユーザーのみがSSHでログイン出来るようにして利用しています。(特殊環境)
普通に考えて、そのような要件のサーバーであれば複数のユーザーを作成するべきではありません。
それだけログインの成功率を上げてしまうので。
ルーターにIPSecの機能があるのであれば、わざわざSSH forwardingを利用する必要は無いかと思いますが。。。。
ご回答ありがとうございます。
ユーザが増えれば、セキュリティもさがる。
その通りですよね。
IPSECの方が脆弱性の出る可能性が少ないようなので、
IPSECを検討したいと思います。
No.1
- 回答日時:
ええっと、現状で…標準ポート(22)で、パスワード認証なんですか?
もしそうなら既に乗っ取られていたりしませんかね?
11/11~11/25の約2週間ほど、標準ポートを開けてみましたが…約15万回のパスワード認証の試行がありました。
うち12万回ほどが中国だったりしますけど。
# 一人で12時間程度rootのパスワードを破ろうと「総当たり」で試行している人も居ましたが。(秒間1~2回。結構負荷でした。)
接続しに来たIPアドレスが85箇所(うち一つはさくらインターネットだった。VPSのCentOSが乗っ取られた?)。
試行されたアカウントのパターンが8256種。
まぁ、ソレは置いておいて…
>・SSH接続に公開鍵認証方式を利用
>・ルータのIPsec機能を用いて、公開鍵認証方式により接続
で…
>・どちらの接続方式の方が良いか。
最低でも公開鍵認証を使用するべき。
非標準ポートに変更する。というのもほぼ必須かと。
# 非標準ポートで2年程度動かしていますが…いまだ変なアクセスはありませんね。
AllowGroupで制限かけるのもよいかと。
# 外部からSSH接続する人達のグループを作成して、そこに登録する。
接続元で使用可能であればIPsecも使用…てすかね。
# 個人的にはソコまでするのも負荷が高そうだな…とは思いますが。
>・それはどういう理由か。
パスワード認証ではいつか破られる可能性があります。
誰か一人が弱いパスワードにしていたら、そこから侵入。
あとはローカルからの攻撃でroot権限奪われる可能性が出てきます。
公開鍵認証ならば、秘密鍵とパスフレーズが揃わなければアクセスできません。
# パスフレーズも総当たりという手段があるので秘密鍵が奪われたらいつかは危険に曝されます。
この回答への補足
ご回答ありがとうございます。
もちろん、ポートは変更しています。
「公開鍵認証+パスフレーズ」の利用は決定事項です。
「公開鍵認証+パスフレーズ」は、SSHでも、IPSECでも使えるので、
どちらにすべきかを迷っています。
要件を補足します。
社外から緊急時に社内ネットワークにアクセスしたい要件があります。
ネットワーク構成は
クライアント
│
Internet
│
Router
│ │
│ └内部セグメント
│
└──DMZ─公開サーバ
SSHだと、
クライアント -> Internet -> (SSH非標準ポート) -> Router -> (SSH標準ポート) ->
サーバ -> 内部セグメント
なつなぎ方を想定しています。
SSHのポートフォワードを利用する想定です。
IPSECだと、
Internet -> (IPSEC) -> Router -> 内部セグメント、公開サーバ
な接続になると思います。
って、まとめてみたら、IPSECの方が良い気がしてきました。
DMZのサーバから内部セグメントへのアクセスを許すのはセキュリティの抜け穴になって
しまいますよね・・・。
SSHには大きなアドバンテージがなさそうに思えますし、
IPSECは設定が面倒な事以外は問題ないような気がしてきました・・・。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- UNIX・Linux Ubuntu20.04からUbuntu22.04にバージョンアップする際にssh-rsaが無効になっ 1 2022/11/25 00:08
- UNIX・Linux Linux(fedora)でホスト名について 2 2022/06/21 14:24
- UNIX・Linux リナックスのリモート接続の際に使う sshコマンドについて 1 2022/11/21 19:46
- ドライブ・ストレージ ネットワークHDD(NAS)について教えて下さい。 11 2023/03/08 11:15
- 固定IP Win11 アダプター設定変更にイーサネットが表示されない 1 2022/12/03 18:31
- ルーター・ネットワーク機器 ひとつのスイッチでルーターの冗長化を複数させたい 1 2023/04/12 22:46
- その他(パソコン・周辺機器) Windowsマシン。USBタップの「自動切れ、再接続」がうざい。解決策は? 7 2023/01/25 08:27
- FTTH・光回線 VPNルーターを設置したいですが、配線、設定に困っています。 2 2022/08/28 18:20
- Wi-Fi・無線LAN NECルーターAtermのブリッジモード設定方法を教えてください iphoneで設定したいです。 ネ 4 2022/11/06 02:54
- カスタマイズ(車) いわゆる「テレビキャンセラー」について・・・・・ 7 2022/11/01 20:57
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Microsoft Edgeでページが開け...
-
スペースデスクというアプリは...
-
有線LAN のセキュリティについて
-
iiyama ProLite XUB2390HSの起...
-
URLが開けずホームページが見る...
-
Webゆうパックプリントとプリン...
-
httpをhttpsにしたい
-
ウェブページへのアクセス不可 ...
-
Webサーバ(yuzu.uja.or.jp)に...
-
お願いいたします。ホームペー...
-
スマホのウイルスって聞いたこ...
-
オリックス
-
PC Cleaner
-
httpサイトの危険性について
-
無線LAN設定時の通信について
-
至急教えてください! このサイ...
-
マインクラフト ポート開放につ...
-
(SPSS研修)ログインできない理由
-
あるサイトに、繋がる回線と繋...
-
ルート証明書の有効期限がだい...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
SQLSERVERにADOで接続
-
httpsだけが繋がらない時の対処...
-
freeSSHdについて
-
海外の空港でフリーWi-Fiにつな...
-
telnetコマンドで接続できませ...
-
メールサーバーへtelnetを用い...
-
SSH接続ができません
-
会社説明会に遅刻してしまいま...
-
単三の漏電ブレーカーを単二で...
-
VPNのオンデマンド接続とはなん...
-
「ただし,その件は」の「ただ...
-
有線LANがつながってるかど...
-
IPアドレスは定期的に変わるも...
-
bebirdというイヤースコープを...
-
会社PCのメールが更新されない
-
Tera Termを起動して新しい接続...
-
M.2 PCI Express 接続 M.2 PCIe...
-
NTTホームゲートウェイのブリッ...
-
エアコン配線の途中接続はなぜ...
-
モンストのマルチプレイほぼほ...
おすすめ情報