Zone SSH ligipääsupoliitika muutus paindlikumaks

Virtuaalserverite ja teiste Zone tarkvaraplatvormil serveriteenuste SSH ligipääsupoliitika muutus kasutajate jaoks paindlikumaks.

SSH (Secure Shell) on turvaline võrguprotokoll, mis võimaldab üle interneti luua seadmete vahele krüptograafiliselt kaitstud ühendusi. Peamiselt rakendatakse seda serverite ja võrguseadmete käsurealiideste kasutamiseks.

SSH protokoll pakub serveri haldamiseks ja kasutamiseks palju võimalusi, aga toob endaga kaasa ka omajagu riske. Seetõttu on Zone serveriplatvormis SSH kasutajate autentimisel salasõnade asemel kasutusel avaliku võtme põhine krüptograafia. See tähendab, et kasutajat autenditakse võtmepaariga, mille avalik osa kopeeritakse Virtuaalserverisse ja salajane osa on kasutaja käsutuses.

Erinevalt salasõnapõhisest autentimisest aitab avaliku võtme krüptograafia kaitsta kasutajaid ja nende servereid sõnastikurünnete ning salasõnade lekkimise vastu, mis kujutavad tänapäeval endast internetikasutajatele väga suurt ohtu.

Võtmepaariga autentimine võimaldab kasutajatel juurutada ka kahe teguri põhist autentimist. Parim praktika näebki ette, et salajase võtme kasutamine kaitstakse parooliga, mis on siis teiseks teguriks. Ideaalis võiks salajane võti asuda lausa selleks otstarbeks loodud krüptoseadmel, millesarnaseid näiteks meie Zones kasutame.

Eelpoolkirjeldatud tugevast autentimismeetodist hoolimata oleme seni kasutajatelt nõudnud ka oma IP aadressi(de) lisamist teenust pakkuva serveri usaldusnimekirja, eesmärgiga viia võimalike ründajate arv miinimumini.

Muutuse sisu

Meie infoturbe töögrupp on Zone senist poliitikat analüüsinud ning otsustanud, et tugeva autentimismeetodi kasutamisel on tegelikult võimalik jätta otsus IP aadresside usaldusnimekirja kasutamise kohta kliendi teha nii, et riskid vastuvõetamatuks ei kasva.

Selle otsuse baasil olemegi loonud võimalused kasutaja otsustusõiguse laiendamiseks.

Vaikimisi on klientidel jätkuvalt IP aadresside põhine usaldusnimekiri kasutusel, kuid haldusliidesesse on lisandunud võimalus selle kasutamine välja lülitada ning muuta oma Virtuaalserveri SSH teenus ligipääsetavaks kogu internetist.

Me loodame, et sellele otsusele eelneb siiski kliendipoolne täiendav riskide hindamine. SSH kasutajate tagasiside, mis oli infoturbe töörühmale sisendiks, annab oletada, et nii mõnegi jaoks neist kaalub kasutusmugavus täiendava riski üle.

Meie kogemusel on peamiselt tegemist nö “digitaalsete nomaadide” ja “maanteesõdalastega”, kes rändavad palju ringi ja kelle IP tihti vahetub. Teise suurema rühma moodustavad aga veebiarendajad, kes kasutavad selliseid pilvepõhiseid tarkvarahaldusteenuseid, mis ei suuda oma klientidele kasutatavaid IP vahemikke adekvaatselt kirjeldada.

Ka usaldusnimekiri ise muutus paindlikumaks, nüüdsest võib see sisaldada ka CIDR vormis kirjeldatud IP aadresside plokke, mis võimaldab üksikute hostide asemel usaldada tervet võrku (või mitut). Muuhulgas peaks see olema positiivne uudis IPv6 kasutajatele, kelle IP võib seoses ühendusepakkuja poolt rakendatud privaatsuslaiendusega pidevas muutumises olla.

See pole veel kõik …

Täiendavalt pidasime vajalikuks klientidele SSH kasutusest parema ülevaate andmist. Seepärast lõime veebipõhise SSH logi, mida on nüüd võimalik näha “Minu Zone” haldusliideses SSH alajaotuses. Logi kasutatavuse parandamiseks soovitame määrata oma SSH võtmetele korralikud kirjeldused, sest need aitavad teil logis paremini kasutajaid või seadmeid tuvastada. SSH kasutuse logi uueneb reaalajale lähedaselt.

Lisaks kaasajastasime SSH köögipoolt läbi täiendavate krüptoalgoritmide toe lisamise. Nii on nüüd on võimalik kasutusele võtta elliptiliste kõverate algoritmil põhinevaid krüptovõtmeid, mis peaks eriti meelepärased olema mobiilvõrkude kasutajatele, kuna need on RSA võtmetest palju väiksemad.

Aga ka see ei ole veel kõik, täiendavate algoritmide toe lisamisel pidime endale aru andma, et kliendil puudus võimalus vahendusründe kahtluse korral kontrollida, millised on tegelikud Zone SSH teenuse krüptovõtmete sõrmejäljed. Nüüd on ka see funktsionaalsus olemas – SSH haldusliideses on võimalik iga serveris kasutusel oleva algoritmi kohta näha ka vastava avaliku võtme sõrmejälge.

Head SSH kasutamist!

Autor: Ardi Jürgens

Infotehnoloogia entusiast. Zone Media OÜ juhatuse liige.

Üks mõte “Zone SSH ligipääsupoliitika muutus paindlikumaks” kohta

Kommenteerimine on suletud