端口转发本质上是不安全的吗?

信息安全 SSH 转发端口
2021-08-22 20:03:40

几个月前,当我提议我们将端口 12xyz 转发到内部 SSH 服务器时,我与一个人发生了争执。

目标服务器的绑定方式类似于@stribika 在https://stribika.github.io/2015/01/04/secure-secure-shell.html推荐的方式。具体来说,没有 root 访问权限,仅公钥身份验证,非标准 ssh 端口,高质量密码、kex 和 mac。

我的论点是转发端口本身并不危险,安全性取决于目标端口的服务。我认为我的方法是一种非常安全的远程访问方式。他强烈认为事实并非如此,并指出 VPN 隧道是实现远程访问的唯一安全方式。

谁是对的?

1个回答

转发端口本身并不危险,是的,安全性取决于目标端口的服务。但安全性还取决于路由器的防火墙有多好以及它在内部和外部的保护程度。

对于远程访问,SSH 和 VPN 都可以很好地工作。当使用类似级别的加密时,两者都不比另一个更安全。但由于 SSH 在应用程序级别工作,仅支持 TCP 并且仅提供对单台计算机的远程访问,我更喜欢 VPN 隧道,它实际上在传输层工作,支持 UDP 和 TCP,并允许安全访问多个资源。

VPN 隧道并不是实现远程访问的唯一安全方式,但由于上述原因,它绝对是首选方式。更不用说 SSH 在多个资源的情况下很难正确实现,可能会导致 DNS 泄漏,并且必须为每个应用程序单独配置。