এসএসএইচ এবং ভিপিএন সংমিশ্রণে কেন ব্যবহার করবেন?

24

আমার নিয়োগকর্তা আমাকে প্রথমে একটি ভিপিএন-তে লগ ইন করার প্রয়োজন, এবং কেবলমাত্র তখনই আমি সার্ভারগুলিতে এসএসএইচ করতে পারি। কিন্তু, এসএসএইচের সুরক্ষা দেওয়া, কোনও ভিপিএন ওভারকিল?

আমি যদি ইতিমধ্যে এসএসএইচ ব্যবহার করি তবে সুরক্ষার ক্ষেত্রে ভিপিএন ব্যবহার কী ?

vpn  ssh 
JavaDeveloper
সূত্র
2
VPN এর একটি বৃহত্তর সুযোগ থাকবে - এটা ছাড়া আপনি সম্ভবত আছে কোন কোম্পানি নেটওয়ার্ক ভিতরে এক্সেস এ সব
ব্যবহারকারী 253751
2
আমি কিছুটা বিভ্রান্ত হয়ে পড়েছি কারণ এসএসএইচ ব্যবহার না করার কারণটি আমি সত্যিকার অর্থে স্বীকার করি না যদি না এটি কোনও উন্মাদ কারণে না পাওয়া যায়।
শাদুর
1
@ শাদুর: প্রশ্নে বিবেচিত পছন্দগুলি হ'ল 1) ভিপিএন + এসএসএইচ, 2) এসএসএইচ তবে একা নয় 3) ভিপিএন একা। ওপিটির মুখোমুখি পছন্দগুলির মধ্যে এসএসএইচ জড়িত।
RedGrittyBrick
যদি তাদের ল্যান আইপিএসইসি ব্যবহার করে, তবে আমি মনে করি আপনি ব্যবহার করতে পারেনrsh
নীল ম্যাকগুইগান

উত্তর:

36

আপনার বর্তমান সেটআপের পিছনে যুক্তিটি সম্ভবত নিম্নলিখিত তিনটি কারণে মিলে যাওয়া।

ভিপিএন আপনার সংস্থার নেটওয়ার্কের বাইরের একটি সুরক্ষা সমাধান (নীচে # 1 দেখুন) । তবে এসএসএইচ, আপনার সংস্থার নেটওয়ার্কের বাইরে সুরক্ষার দ্বিতীয় স্তর হতে পারে ... তবে এর মূল উদ্দেশ্যটি আপনার সংস্থার নেটওয়ার্কের মধ্যে ট্র্যাফিক সুরক্ষিত করা (নীচে # 2 দেখুন) । আপনি যে ডিভাইসে এসএসএইচ চেষ্টা করছেন তার ডিভাইসটি আপনার সংস্থাগুলির নেটওয়ার্কে কোনও ব্যক্তিগত ঠিকানা ব্যবহার করছে (নীচে # 3 দেখুন) ভিপিএনও প্রয়োজনীয়

  1. ভিপিএন আপনার সংস্থার নেটওয়ার্কে টানেল তৈরি করে যার মাধ্যমে আপনি ডেটা ধাক্কা দেন। সুতরাং আপনার এবং আপনার সংস্থার নেটওয়ার্কের মধ্যে যে ট্র্যাফিক দেখছে সে কেউ আসলে কী পাঠাচ্ছে তা দেখতে পাবে না। তারা যা দেখছে তা হ'ল সুড়ঙ্গ। এটি কোম্পানির নেটওয়ার্কের বাইরের লোকদের আপনার ট্র্যাফিককে এমনভাবে কার্যকর করতে বাধা দিতে বাধা দেয়।

  2. এসএসএইচ হ'ল আপনার নেটওয়ার্কের ডিভাইসে সংযুক্ত হওয়ার একটি এনক্রিপ্ট করা উপায় (টেলনেটের বিপরীতে যা স্পষ্ট পাঠ্য)। সুরক্ষার স্বার্থে সংস্থাগুলির নেটওয়ার্কগুলিতে প্রায়শই এসএসএইচ সংযোগ প্রয়োজন। যদি আমি কোনও নেটওয়ার্ক ডিভাইসে ম্যালওয়্যার ইনস্টল করে রেখেছি এবং আপনি সেই ডিভাইসে টেলনেট করেন (এমনকি আপনি কোনও ভিপিএন টানেল দিয়ে এসেছেন এমন কি - ভিপিএন টানেলটি সাধারণত কোনও সংস্থার নেটওয়ার্কের ঘেরে সমাপ্ত হয়), আমি আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড দেখতে পাচ্ছি। এটি যদি আপনি ব্যবহার করছেন এসএসএইচ, তবে আমি পারব না।

  3. যদি আপনার সংস্থাটি অভ্যন্তরীণ নেটওয়ার্কের জন্য ব্যক্তিগত ঠিকানা ব্যবহার করে, তবে আপনি যে ডিভাইসে সংযোগ করছেন সেটি ইন্টারনেটে রাউট-সক্ষম নাও হতে পারে। ভিপিএন টানেলের মাধ্যমে সংযোগ স্থাপনটি এমন হবে যেমন আপনি সরাসরি অফিসে সংযুক্ত থাকেন, সুতরাং আপনি সংস্থার নেটওয়ার্কের অভ্যন্তরীণ রাউটিং ব্যবহার করবেন যা কোম্পানির নেটওয়ার্কের বাইরে পৌঁছনীয় নয়।

NetRay
সূত্র
6
যদি ম্যালওয়্যার লক্ষ্য ডিভাইসে থাকে তবে এসএসএইচ টেলনেটের তুলনায় সত্যই সহায়তা করে না। (যদি ম্যালওয়্যার নেটওয়ার্কের অন্যান্য ডিভাইসে থাকে তবে এটি সহায়তা করবে))
পাওলো ইবারম্যান
21

নিষ্ঠুর-জোর প্রচেষ্টা করার জন্য এসএসএইচ একটি অত্যন্ত জনপ্রিয় লক্ষ্য। আপনার যদি ইন্টারনেটে সরাসরি এসএসএইচ সার্ভার থাকে তবে কয়েক মিনিটের মধ্যেই আপনি সমস্ত ধরণের ব্যবহারকারীর নাম (এবং পাসওয়ার্ড) সহ লগইন প্রচেষ্টা দেখতে পাবেন - প্রায়শই হাজার হাজার এমনকি ক্ষুদ্র তুচ্ছ সার্ভারেও।

এখন এসএসএইচ সার্ভারগুলিকে শক্ত করা সম্ভব (মূল তিনটি পদ্ধতির জন্য এসএসএইচ কী প্রয়োজন, এসএসএইচে রুট অ্যাক্সেস অস্বীকার করা, এবং যদি সম্ভব হয় তবে আইপি অ্যাড্রেসগুলি এমনকি সংযোগের অনুমতি দেওয়া নিষিদ্ধ করে)। তবুও, এসএসএইচ সার্ভারকে শক্ত করার সর্বোত্তম উপায় হ'ল এটি ইন্টারনেটে মোটেও না পাওয়া।

কেন এটা কোন ব্যাপার? সর্বোপরি, এসএসএইচ মূলত সুরক্ষিত, তাই না? হ্যাঁ, তবে এটি কেবল ব্যবহারকারীরা তৈরির মতোই সুরক্ষিত - এবং আপনার নিয়োগকর্তা দুর্বল পাসওয়ার্ড এবং এসএসএইচ কীগুলি চুরি হওয়ার বিষয়ে উদ্বিগ্ন হতে পারেন।

একটি ভিপিএন যুক্ত করা ডিফেন্সের একটি অতিরিক্ত স্তর যুক্ত করে যা কর্পোরেট পর্যায়ে নিয়ন্ত্রণ করা হয়, এসএসএইচ হিসাবে স্বতন্ত্র-সার্ভার স্তরের পরিবর্তে।

সর্বোপরি, আমি এখানে কিছু ভাল সুরক্ষা অনুশীলন বাস্তবায়নের জন্য আপনার নিয়োগকারীকে প্রশংসা করব। সুবিধার ব্যয়ে অবশ্যই (নিরাপত্তা সাধারণত সুবিধার ব্যয়ে আসে))

কেভিন কেনে
সূত্র
4
মেকানিজম # 4 কে ব্যর্থ 2ban বলা হয় এবং আমি এটি ব্যবহারের জন্য অত্যন্ত পরামর্শ দিই।
শাদুর
দুর্দান্ত পয়েন্ট। অনুরূপ আরেকটি সরঞ্জাম হ'ল অস্বীকারকারী। পার্শ্ব দ্রষ্টব্য হিসাবে, ব্যর্থ2ban এর কয়েকটি সংস্করণে একটি দুর্বলতা রয়েছে যা আক্রমণকারীকে এটিকে নির্বিচারে হোস্টগুলি ব্লক করতে দেয় - মূলত, এই সংস্করণগুলি অস্বীকৃত-অফ-সার্ভিস আক্রমণটির জন্য ভেক্টর হিসাবে ব্যবহার করা যেতে পারে।
কেভিন কেইন
7

ভিপিএন আপনাকে আপনার নিয়োগকর্তার ব্যক্তিগত নেটওয়ার্কের সাথে সংযোগ স্থাপন করতে এবং সেই ব্যক্তিগত নেটওয়ার্কের একটি আইপি ঠিকানা অর্জন করার অনুমতি দেয়। একবার আপনি ভিপিএন-এর সাথে সংযুক্ত হয়ে গেলে আপনি যেমনটি শারীরিকভাবে বিশ্বের অন্যদিকে অবস্থিত হন তা সত্ত্বেও আপনি কোম্পানির অভ্যন্তরে যে কোনও একটি কম্পিউটার ব্যবহার করছেন it's

সম্ভবত, আপনার নিয়োগকর্তা আপনাকে প্রথমে ভিপিএন এর মাধ্যমে সংযুক্ত হওয়ার প্রয়োজন কারণ সার্ভারগুলি ইন্টারনেট থেকে অ্যাক্সেসযোগ্য নয় (যেমন তাদের কোনও সার্বজনীন আইপি ঠিকানা নেই), এটি একটি ভাল ধারণা। ভিপিএন সুরক্ষার আরও একটি স্তর যুক্ত করেছে, যেন সার্ভারগুলি এসএসএইচের মাধ্যমে সর্বজনীনভাবে অ্যাক্সেসযোগ্য হয় তবে তারা আক্রমণাত্মক হামলার শিকার হতে পারে।

dr01
সূত্র
4

এসএসএইচ একটি এনক্রিপশন প্রোটোকল যা বিভিন্ন জিনিসের জন্য ব্যবহৃত হয়। ভিপিএন টানলে ট্র্যাফিক এনক্রিপ্ট করা তাদের মধ্যে একটি। আপনার ট্র্যাফিক এসএসএইচ ব্যবহার করে এনক্রিপ্ট করা হয়েছে, তবে এটির পরে ইন্টারনেটের মতো কোনও নেটওয়ার্ককে ট্র্যাভার করতে বৈধ আইপি প্যাকেটগুলিতে (টানেল) আবৃত করা দরকার। এই সুড়ঙ্গটি ভিপিএন।

মূলত, আপনার নিয়োগকর্তা সুরক্ষার জন্য নেটওয়ার্ক ট্র্যাফিকের বাইরে অবরুদ্ধ করে রাখেন, যদি না যে ট্র্যাফিকটি কোনও ভিপিএন দ্বারা না আসে যা নিয়োগকর্তা নিয়ন্ত্রণ করে। একটি ভিপিএন টানেলের সামগ্রীগুলি এনক্রিপ্ট করতে পারে বা নাও করতে পারে। এসএসএইচ ব্যবহার করে ভিপিএন টানেলের বহনকারী ট্র্যাফিক এনক্রিপ্ট হবে।

রন মাউপিন
সূত্র
4
সংক্ষেপে: ভিপিএন নেটওয়ার্ককে সুরক্ষা দেয়, এসএসএইচ স্বতন্ত্র সার্ভারগুলিকে সুরক্ষা দেয়।
রিকি বিম
4

স্থানীয় নেটওয়ার্কে প্রবেশের জন্য আপনার ভিপিএন দরকার।

এরপরে আপনাকে পৃথক সার্ভারগুলিতে আপনার সংযোগটি সুরক্ষিত করার দরকার নেই , কারণ এটি ইতিমধ্যে ভিপিএন লিঙ্ক দ্বারা এনক্রিপ্ট করা হবে।

তবে আপনি কীভাবে তাদের সাথে সংযুক্ত হবেন? রিমোট সার্ভারগুলির জন্য এসএসএইচ হ'ল ডি ফ্যাক্টো কনসোল অ্যাক্সেস প্রোটোকল; কোনও অনিরাপদ ইনস্টল এবং কনফিগার করা অতিরিক্ত পরিচালনা ওভারহেড হবে এবং স্থানীয় নেটওয়ার্কের মধ্যে সুরক্ষা হ্রাস করবে (যা সমস্যা হতে পারে বা নাও হতে পারে)।

ভুলে যাবেন না, এমনকি সংস্থার মধ্যেও প্রত্যেকের প্রতিটি সার্ভারে মোট অ্যাক্সেস থাকবে না এবং স্থানীয় নেটওয়ার্কের মধ্যে কী-ভিত্তিক এনক্রিপশন ব্যবহার করার ক্ষমতা আপনার নেটওয়ার্ক প্রশাসককে সহজেই এবং সুরক্ষিতভাবে তা নিশ্চিত করতে দেয় যে কেবলমাত্র লোকেরা যা স্পষ্টতই জানেন তারা কী জানেন এমনকি সংস্থার মধ্যেও, সার্ভারটি স্পর্শ করার অনুমতি রয়েছে।

মনিকার সাথে লাইটনেস রেস
সূত্র
4

আপনি ভিপিএন এর মাধ্যমে সুরক্ষার অতিরিক্ত স্তরও চালনা করতে পারেন। যেমন ডিভাইসের মানদণ্ড পরীক্ষা, 2 ফ্যাক্টর প্রমাণীকরণ ইত্যাদি

chefz
সূত্র
2

সাধারণ যুক্তি হ'ল আপনি যতটা সম্ভব এক্সপোজার এবং সম্ভাব্য আক্রমণ ভেক্টরকে হ্রাস করতে চান।

যদি আপনি এই সিদ্ধান্তটি থেকে শুরু করেন যে এসএসএইচ এবং ভিপিএন উভয়ই প্রয়োজন (তাদের নিজস্ব উদ্দেশ্যে), তবে বাহ্যিকভাবে উভয়ের মুখোমুখি হওয়া মানে আক্রমণকারীদের আপনার পরিবেশে দুটি সম্ভাব্য পথ রয়েছে potential আপনি যদি এসএসএইচ স্থানীয়ভাবে তৈরি করেন তবে এটি সার্ভারের সুরক্ষায় একটি অতিরিক্ত স্তর যুক্ত করে। নিম্নলিখিত পরিস্থিতিতে বিবেচনা করুন:

  1. বাহ্যিকভাবে এসএসএইচ + ভিপিএন। আক্রমণকারীটির সার্ভারের সাথে আপস করার জন্য কেবল এসএসএইচকে আপস করা দরকার।

  2. এসএসএইচ বাহ্যিক। কার্যত আগের দৃশ্যের মতোই।

  3. ভিপিএন বাহ্যিক (এসএসএইচ অভ্যন্তরীণ)। সুরক্ষায় দ্বিগুণ। আক্রমণকারীকে সার্ভারে কিছু করার আগে তাদের উভয়কেই ভেঙে ফেলতে হবে।

বিবেচনা করুন যে ভিপিএন অন্যান্য ক্রিয়াকলাপগুলির জন্য অনিবার্য হবে এবং বাহ্যিক অ্যাক্সেসের জন্য এটি আরও ভালভাবে কনফিগার করা যেতে পারে এবং এটি কোনও মস্তিষ্কের নয়।

জোজেফ উডস
সূত্র
0

আমি বিপত্তি বোধ করব যে উত্তরটি কেবল এটাই যে NAT এর সাথে জড়িত এবং (যেমন অনেকেই বলেছেন) চূড়ান্ত টার্গেট সার্ভারকে বিশ্বের কাছে প্রকাশ করা আরেকটি আক্রমণ বিন্দুকে আমন্ত্রণ জানায়। আপনি যদি বড় কী ব্যবহার করে ভারী বাল্ক ডেটা স্থানান্তর না করেন তবে এসএসএইচ সাধারণত তেমন পথে আসে না। বাধাটি প্রায় সর্বদা নেটওয়ার্ক হবে। (প্রায়! = সর্বদা)

আপনি যদি 'ভাগ্যবান' আইপিভি v রাখার পক্ষে থাকেন তবে এটি কোনও ইস্যু হওয়ার সম্ভাবনা বেশি নয়, তবে আইপিভি 4 এবং সীমিত অ্যাড্রেস স্পেসের সাথে নেট পাওয়া যাবে (আইএমও) শেষ পর্যন্ত আমার মনে হয় এই 'নীতি' এর পিছনে অন্য যে কোনটির চেয়ে বেশি? 'দুর্ঘটনাজনক' বা 'উদ্দেশ্যমূলক' সুরক্ষা।

ErnieE
সূত্র
0

আমার বর্তমান বোঝাপড়া থেকে, এসএসএইচ - কারণ এটি কোনও ক্লায়েন্ট ব্যবহারকারীর সার্ভারে ব্যবহারকারীর আইডি অ্যাক্সেস করার জন্য সঠিক শংসাপত্র রয়েছে তা যাচাই করার জন্য কেবল একটি টিসিপি কী এক্সচেঞ্জ ব্যবহার করে, মাঝারি আক্রমণগুলিতে মানুষের কাছে সংবেদনশীল যেখানে কোনও আইএসপি, বা আপসযুক্ত রাউটার পারে হ্যান্ডশেকের অনুরোধটি বাধা দিন এবং প্রক্রিয়াকরণটিকে হাইজ্যাক করে কার্যকারিতা প্রেরণকারী হিসাবে কাজ করুন। এটি কমান্ডগুলিকে প্রবাহে ইনজেকশনের অনুমতি দেয় এবং তারপরে প্রাথমিক খাঁটি ক্লায়েন্টের কাছে পৌঁছানোর আগে আউটপুট ফিল্টার হয়ে যায়, এভাবে সার্ভারের এসএসএস শেলের মধ্যে স্বেচ্ছাসেবক কমান্ডগুলির মাঝের ইনজেকশনে লোকটিকে লুকিয়ে রাখে।

তবে কোনও ভিপিএন টানেলের মাধ্যমে এমন কিছুকে অনুমতি দেয় যা ssh করে না। একটি অতিরিক্ত প্রাক সম্মত সিমেট্রিক এনক্রিপশন কী। এর অর্থ এই যে উভয় মেশিনের মধ্যে ট্র্যাফিক মাঝারি আক্রমণে কোনও ব্যক্তির পক্ষে সংবেদনশীল নয় কারণ ট্র্যাফিক, যদি এসএসএল এনক্রিপশন স্তরটি নিয়ন্ত্রণ করার জন্য খাঁটি ক্লায়েন্টের পক্ষ থেকে বাধা দেওয়া এবং এগিয়ে দেওয়া হয় তবে ভিপিএন এনক্রিপশন কীটি পাস করতে সক্ষম হবে না প্রয়োজনীয়তা কারণ তৃতীয় পক্ষের ভিপিএন কীগুলি একইভাবে ফাঁকি দেওয়ার ক্ষমতা থাকবে না যেভাবে তারা এসএসসি টিসিপি এসএসএল সংযোগের মধ্যবর্তী লোকের ফরোয়ার্ডিং নিয়ন্ত্রণ করতে সক্ষম হবে।

সুতরাং, এসএসপি মাঝখানে লোকটিকে কোনও আইএসপি বা আপোসযুক্ত রাউটার থেকে থামানোর পক্ষে যথেষ্ট নয় যা কোনও ক্লায়েন্টকে সার্ভারের সাথে সংযোগ স্থাপনের জন্য যেতে হয়।

jonnyjandles
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.