- ベストアンサー
SSHポートフォワードとIPSEC、どちらを選ぶ?
- SSHポートフォワードとIPSEC、どちらを選ぶ?社外から社内へのリモートアクセス要件があります。
- セキュリティ確保のため、SSH接続に公開鍵認証方式を利用の対応をする予定ですが、ルータのIPsec機能を用いて、公開鍵認証方式により接続も検討しています。
- どちらの接続方式の方が良いか、それはどういう理由か教えて頂けませんでしょうか。
- ネットワーク
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
SSH forwardingでログインシェルを無効にしキーシーケンスも無効にし そのユーザーのみがSSHでログイン出来るようにして利用しています。(特殊環境) 普通に考えて、そのような要件のサーバーであれば複数のユーザーを作成するべきではありません。 それだけログインの成功率を上げてしまうので。 ルーターにIPSecの機能があるのであれば、わざわざSSH forwardingを利用する必要は無いかと思いますが。。。。
その他の回答 (1)
- Wr5
- ベストアンサー率53% (2173/4061)
ええっと、現状で…標準ポート(22)で、パスワード認証なんですか? もしそうなら既に乗っ取られていたりしませんかね? 11/11~11/25の約2週間ほど、標準ポートを開けてみましたが…約15万回のパスワード認証の試行がありました。 うち12万回ほどが中国だったりしますけど。 # 一人で12時間程度rootのパスワードを破ろうと「総当たり」で試行している人も居ましたが。(秒間1~2回。結構負荷でした。) 接続しに来たIPアドレスが85箇所(うち一つはさくらインターネットだった。VPSのCentOSが乗っ取られた?)。 試行されたアカウントのパターンが8256種。 まぁ、ソレは置いておいて… >・SSH接続に公開鍵認証方式を利用 >・ルータのIPsec機能を用いて、公開鍵認証方式により接続 で… >・どちらの接続方式の方が良いか。 最低でも公開鍵認証を使用するべき。 非標準ポートに変更する。というのもほぼ必須かと。 # 非標準ポートで2年程度動かしていますが…いまだ変なアクセスはありませんね。 AllowGroupで制限かけるのもよいかと。 # 外部からSSH接続する人達のグループを作成して、そこに登録する。 接続元で使用可能であればIPsecも使用…てすかね。 # 個人的にはソコまでするのも負荷が高そうだな…とは思いますが。 >・それはどういう理由か。 パスワード認証ではいつか破られる可能性があります。 誰か一人が弱いパスワードにしていたら、そこから侵入。 あとはローカルからの攻撃でroot権限奪われる可能性が出てきます。 公開鍵認証ならば、秘密鍵とパスフレーズが揃わなければアクセスできません。 # パスフレーズも総当たりという手段があるので秘密鍵が奪われたらいつかは危険に曝されます。
補足
ご回答ありがとうございます。 もちろん、ポートは変更しています。 「公開鍵認証+パスフレーズ」の利用は決定事項です。 「公開鍵認証+パスフレーズ」は、SSHでも、IPSECでも使えるので、 どちらにすべきかを迷っています。 要件を補足します。 社外から緊急時に社内ネットワークにアクセスしたい要件があります。 ネットワーク構成は クライアント │ Internet │ Router │ │ │ └内部セグメント │ └──DMZ─公開サーバ SSHだと、 クライアント -> Internet -> (SSH非標準ポート) -> Router -> (SSH標準ポート) -> サーバ -> 内部セグメント なつなぎ方を想定しています。 SSHのポートフォワードを利用する想定です。 IPSECだと、 Internet -> (IPSEC) -> Router -> 内部セグメント、公開サーバ な接続になると思います。 って、まとめてみたら、IPSECの方が良い気がしてきました。 DMZのサーバから内部セグメントへのアクセスを許すのはセキュリティの抜け穴になって しまいますよね・・・。 SSHには大きなアドバンテージがなさそうに思えますし、 IPSECは設定が面倒な事以外は問題ないような気がしてきました・・・。
お礼
ご回答ありがとうございます。 ユーザが増えれば、セキュリティもさがる。 その通りですよね。 IPSECの方が脆弱性の出る可能性が少ないようなので、 IPSECを検討したいと思います。