Dnia 10.08.2010 Jacek Politowski <s...@n...istnieje> napisał/a:

>> Zawsze jednak istnieją vpny i inne alternatywne
>> rozwiązania na bezpieczny dostęp zdalny.
>
> I czym _praktycznie_ różni się taki np. VPN od SSH?
> Poza, potencjalną, niejawnością protokołu?

Miejscem terminacji ruchu?
Zpsucie RAS-a może być mniej szkodliwe niż zpsucie rutera z ważną sesją.

Jak już klikam, wrzucę kamyczek do całości dyskusji. Oryginalnie przedstawiony
problem widzę tak:
1. SSH na ruterze brzegowym jest przydatne.
2. Publiczne wystawienie tego SSH
- na dziś może szkodzić minimalnie (syf w logach, prowokowanie podwyższonej
konsumpcji
zasobów, która może zagrozić podstawowej roli systemu)
- w przyszłości może zaszkodzić bardziej (jakiś 0 day bug np.)
stwarza więc ryzyko.
3. Mając na uwadze 2., SSH na ruterze brzegowym warto ograniczyć do zaufanych IP
(hosty przesiadkowe).
4. Implementując ograniczenie z p.3. ktoś mnie rozgarnięty może przegapić domyślne
allow na IPv6.
5. Rezygnacja z implementacji ograniczenia z p.3. przy argumentacji, że stykówka i
tak nie jest
rozgłaszana na świat, stwarza kolejne ryzyko, bo wpływ na ew. rozgłoszenie ma
wiele podmiotów
poza nami.

Zatem jawnie zdefinowane ograniczenie dostępu do usługi SSH do wybranych
hostów (o ile to nie shellownia) adresuje ryzyka 2. i 5.

Tak że ruter zdalnego dostępu, przez który uzyskujemy dostęp do sieci
zarządzania i dopiero tamtędy SSH-ujemy się na docelowy system, wydaje
mi się zupełnie koszernym rozwiązaniem. ;)


--
Paweł Małachowski